Duża grupa polskich przestępców internetowych rozbita i zatrzymana. Brawo!

dodał 24 września 2020 o 06:03 w kategorii Info, Prawo, Wpadki  z tagami:
Duża grupa polskich przestępców internetowych rozbita i zatrzymana. Brawo!

W tej historii są miliony złotych kradzione przez duplikaty kart SIM, alarm bombowy w ponad tysiącu przedszkoli, dziesiątki złośliwych domen, kilka rodzin koni trojańskich, siedmiu zatrzymanych przestępców, a nawet detektyw Rutkowski.

Informacje, które zebraliśmy, nie pozostawiają wątpliwości – zatrzymani cyberprzestępcy byli szkodnikami najwyższej kategorii. Fałszywe sklepy internetowe i ponad 10 000 oszukanych, ataki typu SIM swap, konie trojańskie atakujące smartfony i komputery (ponad tysiąc ofiar), ransomware, fałszywe alarmy bombowe, nieautoryzowany dostęp do systemów operatora telekomunikacyjnego, spam – mieli naprawdę szerokie zainteresowania. Ich „osiągnięcia” będziemy omawiać w poszczególnych akapitach, bo ta historia ma wiele wątków.

Kto został zatrzymany

W czułe objęcia organów ścigania trafili (a większość z nich nadal tam pozostaje):

  • Kamil S., kiedyś – za czasów ToRepublic – znany jako Razzputin (obecnie używał innych pseudonimów),
  • Paweł K., działający pod pseudonimem Manster_Team, pełniący do niedawna rolę „bankiera”,
  • Janusz K., jeden z najaktywniejszych i najbardziej wszechstronnych sprawców większości opisywanych niżej przestępstw, technik informatyk,
  • Łukasz K., również ważna postać w podziemnym światku,
  • a także Mateusz S., Radosław S., Joanna S. i Beata P.

Większość wyżej wymienionych działała także aktywnie na popularnych forach, takich jak Cebulka czy exploit.in. Co ciekawe, w swoich działaniach współpracowali nie tylko z przestępcami z Rosji, ale także z Korei Północnej.

W tym oto pięknym areszcie przebywa obecnie spora część bohaterów tego artykułu

Mała karta, wielkie pieniądze

Jednym z wątków działania zatrzymanych złodziei są kradzieże, w których posługiwali się nielegalnie pozyskanymi duplikatami kart SIM, za pomocą których odbierali kody jednorazowe autoryzujące transakcje na kontach swoich ofiar. Wcześniej infekowali komputery lub smartfony i zbierali dane o potencjalnych kandydatach na ofiary. Ile ukradli? Wiadomo na pewno o kwotach takich jak 199 000 PLN (8 przelewów w kilkadziesiąt minut i to SORBNET-em, którego poszkodowany prawie nigdy nie używał), 220 000 PLN i 243 500 PLN (tu historia zatrzymania słupów wypłacających środki), skradzionych od osób fizycznych. Próbowali także wielkiego skoku na 7 900 000 PLN za pomocą tej samej metody, jednak po skutecznym wyłudzeniu duplikatu karty SIM prezesa pewnej spółki akcyjnej ich działania powstrzymała pracownica banku, która zadzwoniła zweryfikować transakcję. Przestępca, co prawda, odebrał i potwierdził, że wszystko jest OK, ale pracownica znała prawdziwego posiadacza konta i po głosie poznała, że to nie z nim rozmawia. Niech żyją oddziały!

Złośliwe oprogramowanie

Pamiętacie atak złośliwego oprogramowania, w którym przestępcy użyli mojego prywatnego adresu e-mail w polu „Odpowiedz do”? Ja pamiętam. I mam nadzieję, że tę kampanię zapamiętają także zatrzymani – bo wśród nich jest osoba, która te wiadomości wysyłała. Ta sama grupa stała także za wyjątkowo nieudolną kampanią podszywającą się pod ZUS. W swoich kampaniach podszywali się także pod Krajową Administrację Skarbową, komorników, Inpost, DHL, Cybertarczę Orange oraz Komendę Stołeczną Policji.

Kampanie spamu miały za zadanie zainfekować urządzenia końcowe odbiorców. Do tego celu przestępcy używali złośliwego oprogramowania takiego jak Cerberus, Anubis, Danabot, Netwire, Emotet oraz njRAT. Skutecznie zainfekowali w ten sposób co najmniej 1000 osób (a prawdopodobnie dużo więcej). Infekowali zarówno komputery działające pod kontrolą systemu Windows, jak i urządzenia mobilne oparte o system Androida. Niektóre domeny wykorzystywane w opisywanych atakach to:

shopopony.pl
aplikacjadhl.pl
badabinglalaland.com
bali24.pl
cyber-tarcza.pl
dhlaplikacja.pl
hellogivemeyourmoney.tk
in-post24.pl
inqost.pl
profit-vip.pl

Fałszywe sklepy internetowe

Sklepy były domeną Janusza K. Prowadził ich co najmniej 50 i oszukał ponad 10 000 osób. Poniżej lista domen fałszywych sklepów, za którymi prawdopodobnie stał:

7start.pl
amsdell.pl
amwit.pl
bochce.pl
butikcasio.pl
caxsoft.pl
chytrus.com
dandelio.pl
dapisel.pl
dapisell.pl
e-robix.pl
e-sophie.pl
electroline.pl
elektrobox.pl
entersc.net
fabrykaagd.com.pl
favia.pl
foto-office.com.pl
foto-office.pl
gikon.pl
goldangel.pl
gredom.pl
hejdzidzia.pl
lidermedia.pl
mikro24.pl
oraty.pl
pegra.pl
ptls.pl
quito.com.pl
rafidu.pl
ramkomputer.pl
rcplus.net.pl
snowx.pl
tcnsklep.pl
tnt-sklep.pl
twojeagdrtv.pl
video-top.pl
vipelektronik.pl
zapraszamybowarto.pl

Część z ww. sklepów działała w schemacie oszustwa „prawdziwa płatność, fałszywy sklep”, przekierowując ofiary do prawdziwych opłat, lecz nie za te towary, które zamawiały (schemat działania opisujemy w tym artykule). Jeśli zostaliście oszukani w jednym z nich, to odezwijcie się do Wydziału do Walki z Cyberprzestępczością Komendy Wojewódzkiej Policji w Gorzowie Wielkopolskim, który to prowadzi tę część postępowania.

Fałszywe alarmy bombowe i Krzysztof Rutkowski

To chyba najbardziej nietypowy wątek tej sprawy. Przestępcy uwzięli się na pewną rodzinę z Łęczycy. Zlecił im to zadanie były wspólnik ofiary, który miał z nią nieuregulowane rozliczenia. Z adresu e-mail mężczyzny stanowiącego cel „operacji” przestępcy wysłali fałszywe alarmy bombowe do ponad tysiąca przedszkoli w całej Polsce o treści:

W PRZEDSZKOLU JEST BOMBA, WYBUCHNIE JUTRO W POŁUDNIE, WSZYSCY BĘDZIECIE GRYŹĆ PIACH, ZA TO CO MI ZROBILIŚCIE

Podszyli się pod niego tak skutecznie, że mężczyzna został nawet zatrzymany na 48h. Na tym jednak nie poprzestali. W imieniu jego żony zamieszczali fałszywe anonse towarzyskie, na adres urzędu, gdzie pracowała, zamawiali lodówki, opublikowali także informacje, jakoby dokonywała oszustw.

Jeśli stoicie, to lepiej teraz usiądźcie. Gdy poszkodowani wynajęli detektywa Rutkowskiego, by rozwiązał ich problem, przestępcy, chcąc „ukarać” Rutkowskiego za wypowiedzi na ich temat, użyli nieautoryzowanego dostępu do systemów jednego z operatorów telefonii komórkowej i wystawili Rutkowskiemu faktury za usługi na spore kwoty.

Tak wyglądał prawdopodobnie dokument, za pomocą którego wcześniej zainfekowali podwykonawcę operatora telekomunikacyjnego:

Pierwszy ekran
Drugi ekran

Nie mamy 100% pewności co do sieci, której dotyczył atak, ale na liście domen, używanych przez przestępców, znajduje się adres

krisrnilton.pl

podczas gdy pod adresem

krismilton.pl

(zwróćcie uwagę na subtelną różnicę rn -> m) funkcjonuje spora sieć sprzedaży usług firmy Play.

Z fałszywą domeną komunikował się także plik o nazwie

WYPOWIEDZENIE UMOWY_DOKUMENT PODPISANY ELEKTRONICZNIE.PDFCR.js

To oczywiście nie koniec

Jak pewnie wiecie, zatrzymani mają dyski, których analiza trwa, mają też wspomnienia, którymi niektórzy się chętnie dzielą, zatem – jak mawiają komunikaty organów ścigania – „sprawa jest rozwojowa”. Trzymam kciuki za jej skuteczny rozwój oraz za wszystkie osoby skutecznie ja rozwijające.