Europol telah mengumumkan bahwa penegakan hukum di Jerman dan Ukraina menargetkan dua orang yang diyakini sebagai anggota inti dari grup ransomware DoppelPaymer.
Operasi tersebut terdiri dari penggerebekan beberapa lokasi di kedua negara pada bulan Februari dan merupakan hasil dari upaya terkoordinasi yang juga melibatkan Europol, FBI dan Kepolisian Belanda.
“Petugas Jerman menggerebek rumah seorang warga negara Jerman, yang diyakini berperan besar dalam kelompok ransomware DoppelPaymer,” Europol menginformasikan dalam siaran pers yang diterbitkan hari ini.
Badan tersebut mencatat bahwa “terlepas dari situasi keamanan yang sangat sulit saat ini di Ukraina” karena invasi Rusia, petugas polisi di negara itu “menginterogasi seorang warga negara Ukraina yang juga diyakini sebagai anggota kelompok inti DoppelPaymer.”
Petugas Jerman menggerebek satu lokasi – rumah warga negara Jerman yang diyakini memiliki “peran utama dalam kelompok ransomware DoppelPaymer.” Di Ukraina, polisi menggeledah dua lokasi – di Kiev dan Kharkiv.
Peralatan elektronik telah disita dan penyelidik serta pakar IT sedang memeriksanya untuk bukti forensik.
Tiga ahli dari Europol juga telah dikerahkan ke Jerman untuk memeriksa ulang informasi operasional dengan informasi dari database Europol dan untuk membantu analisis, pelacakan kripto, dan pekerjaan forensik.
“Analisis data ini dan kasus terkait lainnya diharapkan memicu kegiatan investigasi lebih lanjut,” kata Europol. Pekerjaan ini dapat mengungkap anggota lain dari grup ransomware serta afiliasi yang menyebarkan malware dan korban tebusan di seluruh dunia.
Ransomware DoppelPayment
Operasi ransomware DoppelPaymer muncul pada tahun 2019 dengan menargetkan organisasi infrastruktur penting dan perusahaan besar.
Pada tahun 2020, pelaku ancaman mulai mencuri data dari jaringan korban dan mengadopsi metode pemerasan ganda dengan mengancam akan menerbitkan file yang dicuri di situs kebocoran di jaringan Tor.
Europol memperkirakan bahwa antara Mei 2019 dan Maret 2021, para korban yang berbasis di Amerika Serikat saja membayar DoppelPaymer setidaknya $42,4 juta. Pihak berwenang Jerman juga telah mengkonfirmasi 37 kasus di mana perusahaan menjadi sasaran geng ransomware.
Malware DoppelPaymer didasarkan pada ransomware BitPaymer. Ancaman enkripsi file dikirim melalui malware Dridex, yang didorong oleh botnet Emotet yang terkenal.
Vektor infeksi adalah email spear-phishing yang berisi dokumen dengan kode VBS atau JavaScript berbahaya. Pelaku ancaman juga menggunakan alat yang sah, Peretas Proses, untuk menghentikan produk terkait keamanan yang berjalan di sistem korban.
Meskipun operasi diganti namanya menjadi “Kesedihan” (Bayar atau Kesedihan) pada Juli 2021 dalam upaya untuk menghindari penegakan hukum, serangan menjadi lebih jarang.
Di antara korban profil tinggi DoppelPaymer adalah Kia Motor AmerikaDelaware County di Pennsylvania (membayar uang tebusan sebesar $500.000), pembuat laptop KompalUniversitas Newcastle (file bocor), raksasa elektronik Foxconndan Dewan Riset Belanda (NWO).
Untuk memaksa korban membayar tebusan, operator ransomware DoppelPaymer mengancam akan melakukannya menghapus kunci dekripsi jika korban mengontrak negosiator profesional untuk mendapatkan harga yang lebih baik untuk memulihkan data yang dikunci.
Namun, frekuensi serangan menurun hingga geng tersebut tidak lagi mempertahankan lokasi kebocoran.
