16.03.2018 | 10:57

Adam Haertle

29 komentarzy

181 zarzutów, kilka tysięcy ofiar – znamy szczegóły zatrzymania Thomasa

Mamy dla Was szczegóły zatrzymania najbardziej uciążliwego polskiego cyberprzestępcy ostatnich lat – słynnego Tomasza T., pseudonim Thomas. Skala jego przestępstw i strat jego ogromna, ale mamy też dobrą wiadomość dla ofiar.

Tomasz T., na co dzień mieszkający w Belgii, został w środę zatrzymany na terenie swojego rodzinnego województwa opolskiego. Oczekiwanie na jego przyjazd w domowe strony trwało długo – ale opłaciło się organom ścigania. Wraz z Thomasem zatrzymano jego komputery znalezione w Polsce oraz, dzięki współpracy z belgijskimi śledczymi, komputery w miejscu zamieszkania w Belgii. Cytując komunikat Prokuratury Okręgowej:

Ponadto, mając na uwadze poczynione w toku śledztwa ustalenia, iż Tomasz T. dokonywał przestępstw z terenu Belgii, jak też okoliczność, iż w tym kraju może znakować się znaczna ilość dowodów, jakie w sprawie należy zabezpieczyć (w tym dane operatorów telekomunikacyjnych, dane dotyczące przepływów na rachunkach bankowych) – prokurator skorzystał z nowej instytucji prawa procesowego i skierował do organów śledczych Belgii tzw. Europejski Nakaz Dochodzeniowy (z instytucji tej polscy prokuratorzy mogą korzystać od lutego tego roku) zawierający wniosek o wykonanie określonych czynności śledczych, w tym przeszukań. Chodziło m.in. o jak najszybsze zabezpieczenie dowodów przestępstw popełnionych przez podejrzanego oraz współdziałające z nim osoby. Czynności zlecone przez polskiego prokuratora, belgijskie organy śledcze zaczęły realizować zaraz po otrzymaniu informacji o zatrzymaniu Tomasza T.

Co bardzo ważne dla ofiar części jego przestępstw, policja już od pewnego czasu dysponowała kluczami szyfrującymi, które mogą pomóc w odzyskaniu części danych na zaszyfrowanych komputerach (na razie dla kampanii „GIODO” oraz „Pojazd Zastępczy”). Jest także nadzieja, że na zatrzymanych komputerach zostaną odnalezione inne klucze, powiązane z innymi kampaniami. Niestety nie można liczyć na odzyskanie danych w 100% – w części przypadków firmy hostingowe tak szybko usuwały jego serwery, że nie zdążył z nich pobrać danych ofiar.

Thomas na przesłuchaniu przyznał się do zarzucanych mu czynów – od VBKlipa, podmieniającego numery rachunków w pamięci komputerów, przez ataki DDoS na serwery Home.pl, po kampanie phishingowe, vjw0rma, ransomware Flotera / Vortex – ten ostatni zaszyfrował co najmniej kilka tysięcy komputerów. Jeśli jesteście jedną z jego ofiar i nadal macie zaszyfrowane przez niego pliki, do Was skierowany jest ten fragment komunikatu Prokuratury Okręgowej:

Jednocześnie Prokuratura Okręgowa w Warszawie informuje, iż osoby pokrzywdzone we wskazanych kampaniach powinny się zgłaszać do właściwych, z uwagi na miejsce zamieszkania jednostek policji i składać zawiadomienia o przestępstwie, podając dane kampanii, adres IP oraz ID komputera oraz zaszyfrowanych plików. Powyższe umożliwi przekazanie pokrzywdzonym kluczy do zaszyfrowanych plików.

Co ciekawe, okazuje się, że ransomware używane przez Thomasa miało innego autora – on także znalazł się w rękach policji.

Zarzuty dla Thomasa obejmują:

-pranie brudnych pieniędzy (przyjęcie i dalsze przekazywanie środków pochodzących z popełnianych przez niego przestępstw, celem utrudniania stwierdzenia ich przestępczego pochodzenia) bądź czynienie przygotowania do w/w przestępstwa,

-oszustwa komputerowe – w tym przypadku chodziło o infekowanie komputera złośliwym oprogramowaniem zmieniającym numery rachunków bankowych podczas operacji dokonywania przelewu na wpisany przez podejrzanego w kodzie źródłowym, w wyniku czego dochodziło do przelania środków na należące do niego konto ( w ten sposób sprawca działał w 2013 r.),

-wpływanie na automatyczne przetwarzanie danych w celu osiągnięcia korzyści majątkowych, w tym przypadku chodziło o przesyłanie na adres poczty e-mail pokrzywdzonych wiadomości, w której podejrzany podszywając się pod inny podmiot, którego dane budziły zaufanie użytkownika komputera, przesyłał złośliwe oprogramowanie ransomware w postaci wirusa określonego jako Polski Ransomware, Vortex lub Flotera, w celu zainfekowania złośliwym oprogramowaniem, które szyfrowało dane informatyczne znajdujące się na komputerze, utrudniając użytkownikowi dostęp do nich, po czym żądał opłaty za przesłanie klucza deszyfrującego dane. Klienci nie mając dostępu dla istotnych dla nich danych, decydowali się na zapłatę pieniędzy.

Prokurator złożył wniosek o zastosowanie trzymiesięcznego aresztu – czekamy na jego rozpatrzenie. O postępach sprawy będziemy informowali Was na bieżąco.

Powrót

Komentarze

  • 2018.03.16 11:21 Marcin

    Gratulacje,

    podajcie linka do komunikatu prokuratury

    Pozdro,
    Marcin

    Odpowiedz
  • 2018.03.16 11:34 Przemysław

    Wlasnie oglądałem na youtubie prezentacje pana Adama o Thomasie i tak zajrzałem na z3s patrze i oczą nie wierzę ;)

    Odpowiedz
    • 2018.03.16 11:42 Grześ

      *oczom
      Ogonków już się nie będę czepiał.

      Odpowiedz
  • 2018.03.16 11:42 Mada

    Podczas konferencji wspominałeś że Adam znajduje się w kraju w którym może czuć się bezkarnie. Okazuje sie że tym krajem była Belgia, czy interpol nie pownien pomóc w jego zatrzymaniu dużo wcześniej?

    Odpowiedz
    • 2018.03.16 12:35 Muster

      A tam od razu Interpol… skoro wiedzieli jak się nazywa to nie rozumiem, czemu nie wystawiono ENA. Albo chociaż nie zwrócono się do belgijskiej prokuratury o pomoc prawną.

      Odpowiedz
  • 2018.03.16 12:03 Fred

    To se zrobi dłuuugi odpoczynek od komputera…

    Odpowiedz
    • 2018.03.16 12:54 Janusz

      żebyś się nie zdziwił…

      Odpowiedz
      • 2018.03.16 16:01 Gabryś

        To już nie te czasy, ale kto wie.

        Odpowiedz
    • 2018.03.16 13:40 Arek

      A może dostanie (prawie)legalną robotę…

      Odpowiedz
      • 2018.03.17 21:40 loledo

        A kim on niby był? Script kiddie i tyle :)

        Odpowiedz
  • 2018.03.16 14:38 slawek

    „osoby pokrzywdzone we wskazanych kampaniach powinny się zgłaszać do właściwych, z uwagi na miejsce zamieszkania jednostek policji”
    Nie prościej umieścić decrypter do ransomware na https://www.nomoreransom.org/

    Odpowiedz
  • 2018.03.16 15:13 Dawid

    Wreszcie się Adamie doczekałeś na złapanie swojego ulubieńca :)
    Odwiedzisz go w więzieniu i opiszesz później?

    Odpowiedz
    • 2018.03.16 18:13 maslan

      Ja mam nadzieję że tylna cześć ciała thomasa zostanie wielokrotnie odwiedzona w więzieniu ;)

      Odpowiedz
      • 2018.03.16 19:08 oł noł

        …tylko że więzienie to ma być dla niego kara, a nie przyjemność.

        Odpowiedz
      • 2018.03.17 01:47 vmmn

        hmm z kad sie bierze u was takie zainteresowanie odbytem ?? jakas sklonnosc ? ok nie wnikam :P w kazdym razie chlopak ma w huj siana a w wiezieniu rządzi wlasnie pieniadz i ten kto dostaje dobre paczki. Walczyc o pozycje musi ten kto nic nie ma… Tak ze chyba wasze fantazje idą w złym kierunku :P

        Odpowiedz
  • 2018.03.17 11:15 Monter

    A teraz ręka do góry kto trzymał przez tyle lat zaszyfrowane pliki z nadzieją na odszyfrowanie ;o)

    Odpowiedz
  • 2018.03.17 11:50 PukPuk

    Dajcie kilka komputerów, mamuśkę co dom zapewni, jedzonko, to też coś powymyślam. Gorzej jak mamuśka, to jakieś państwo i ma grupę synków.

    Odpowiedz
  • 2018.03.17 16:30 Rodzyn

    Hmm.. „podając dane kampanii, adres IP oraz ID komputera oraz zaszyfrowanych plików. Powyższe umożliwi przekazanie pokrzywdzonym kluczy do zaszyfrowanych plików.”, ID komputera czy co? Adres MAC? Bo jakby nie czaję czym w tym przypadku jest dokładnie tym ID komputera hah :P

    Odpowiedz
    • 2018.03.17 17:16 Adam

      W komunikacie po zaszyfrowaniu złośliwy program podawał takie informacje.

      Odpowiedz
  • 2018.03.18 07:37 Romano

    A tak cwaniakował tutaj w komentarzach. Myślał że w policji pracują dziadki jeszcze na maszynach do pisania. Wroga nie docenił i go załatwili.

    Odpowiedz
    • 2018.03.19 12:35 zonk

      Złapanie go to żaden sukces patrząc na to jak działał.

      Odpowiedz
    • 2018.03.19 14:01 Konan Katoda

      Człowieku. Teraz służby powołują się na przeszkody proceduralne, bo gość działał z terytorium Belgii. A prawda jest taka, że dla chcacego nic trudnego.
      Dane tego gościa były znane od 2012 roku a nawet nie wystawiono ENA.
      Jak inny bandzior zgwałcił i zabił lektorkę języków obcych i zidentyfikowany dał dyla na Maltę, to z powrotem był w Polsce po dwóch dniach od jej opuszczenia. Brat pana Filipa T[…] siedział sobie nie niepokojony w Belgii 6 bitych lat i doskonalił warsztat rżnąc kolejne osoby. I pewnie by sobie dalej siedział, gdyby nie przekroczył granicy Polski

      Odpowiedz
      • 2018.03.20 11:10 j44i

        Sprawa Kajetana P. była inna: duży kaliber (morderstwo), tożsamość podejrzanego znana od samego początku i uciekał z włączonym telefonem więc namierzono go bez trudu. Do Polski wrócił błyskawicznie bo przed maltańskim sądem (który rozpatrywał wystawiony przez Polskę ENA) wyraził zgodę na ekstradycję do Polski – w przeciwnym razie trwałoby to trochę dłużej.

        Odpowiedz
  • 2018.03.20 11:58 Grzegorz

    To ja już nic nie rozumiem. Gość dokonuje oszustw na dużą skalę (mam na myśli ilość oszukanych ludzi) i siedzi sobie w jednym z krajów UE? Jak oglądałem prezentacje o nim to myślałem, że gość siedzi w jakimś Mozambiku czy innym kraju gdzie nie ma Interpolu, nie mamy podpisanych umów o ekstradycji itd. itd. A tu okazuje się, że siedział sobie w Belgii. No ręce opadają

    Odpowiedz
  • 2018.03.31 14:16 Jacek

    Europejski Nakaz Dochodzeniowy (z instytucji tej polscy prokuratorzy mogą korzystać od lutego tego roku).
    Ważniejszy jest przecież ślimak, który to jest przecież rybą.:P

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

181 zarzutów, kilka tysięcy ofiar – znamy szczegóły zatrzymania Thomasa

Komentarze