Thomas, najbardziej uciążliwy polski cyberprzestępca, zatrzymany przez policję

dodał 16 marca 2018 o 07:57 w kategorii Prawo  z tagami:
Thomas, najbardziej uciążliwy polski cyberprzestępca, zatrzymany przez policję

Ponad sześć lat oszukiwania polskich internautów, miliony wysłanych e-maili, tysiące zainfekowanych komputerów, setki ofiar ransomware i 29 artykułów w naszym serwisie – to plon działalności zatrzymanego właśnie Tomasza T.

Czekaliśmy na ten dzień od ponad 5 lat, kiedy to pierwszy raz opisaliśmy jego działalność. Armaged0n, Thomas, the.xAx, 2Pac Team – to tylko kilka z pseudonimów używanych przez przestępcę nazywanego od dzisiaj już oficjalnie Tomaszem T. 14 marca Tomasz T. został zatrzymany przez policję i obecnie przebywa w areszcie. Wraz z jego zatrzymaniem kończy się pewna epoka ataków na polskich internautów.

Ponad sześć lat kariery

Pierwsze znane nam ślady oszustw Tomasza T. sięgają listopada roku 2011, kiedy to założył fałszywy sklep z elektroniką. Od tamtej pory jego kariera cyberprzestępcy cały czas się rozwijała – obserwowanie czynionych przez niego postępów było ciekawym doświadczeniem. We właściwym czasie opublikujemy długą listę jego działań wymierzonych w polskich internautów. Są na niej kampanie phishingowe, ataki na konta bankowe, podmienianie numerów rachunków, budowanie botnetów, włamania na strony internetowe, kradzieże danych, infekowanie ofiar za pomocą ransomware i wiele, wiele innych. Jeśli chcecie prześledzić część jego działalności, to polecamy lekturę 29 (!) artykułów w naszym serwisie oznaczonych tagiem „Thomas” – od stycznia 2013 do stycznia 2018. Był chyba jednym z najbardziej płodnych autorów kampanii e-mailowych – oto opracowany przez nas przykładowy graf części z nich z zeszłego roku.

W swoich atakach korzystał z rozlicznych exploitów, trojanów i innych rodzajów złośliwego oprogramowania. Przykładowe zestawienie zróżnicowanego przebiegu jego kampanii w tabelce poniżej:

Szczególnie w ostatnim roku jego kampanie e-mailowe były naprawdę dobrze dopracowane – poniżej znajdziecie krótki przegląd kilku zrzutów ekranu wiadomości wysyłanych przez Tomasza T. do jego ofiar.

W ciągu ostatnich kilku lat analizie jego ataków, nagłaśnianiu ich i przedstawianiu na licznych konferencjach poświęciliśmy setki godzin i bardzo cieszymy się, że Prokuratura Okręgowa w Warszawie wraz z Biurem do Walki z Cyberrzestępczością Komendy Głównej Policji dopisuje dzisiaj odpowiedni epilog.

Podziękowania

Większości osób zaangażowanych przez ostatnie kilka lat w proces prowadzący do jego zatrzymania (a jest ich sporo!) z różnych powodów nie możemy wymienić. Chcemy Wam w tym miejscu gorąco podziękować za Wasz wysiłek, profesjonalizm i zaangażowanie. W szczególności podziękowania należą się:

  • pracownikom firm i instytucji, którzy poświęcili w ciągu ostatnich kilku lat wiele czasu na pieczołowite analizowanie i dokumentowanie działania Thomasa,
  • osobom, które przyczyniły się do ustalenia jego tożsamości i zebrania cennych dowodów,
  • przedstawicielom organów ścigania, którzy wbrew licznym przeciwnościom dążyli do jego zatrzymania,
  • przedstawicielom wymiaru sprawiedliwości, którzy potrafili rozwiązać problemy nierozwiązywalne od lat, by doprowadzić sprawę do końca,
  • Wam, Czytelniczkom i Czytelnikom z3s, którzy regularnie podsyłaliście nam próbki i ślady działalności Thomasa – to także dzięki Wam jego zatrzymanie okazało się w końcu możliwe.

Zatrzymanie Thomasa pokazuje, że nawet przestępcy, którzy od lat żyli w przeświadczeniu bezkarności, wcale nie są bezkarni. Wierzymy, że to nie ostatnia dobra wiadomość w tym roku. A do tematu samego Thomasa pewnie wkrótce jeszcze wrócimy. Tymczasem możecie posłuchać, jak o Thomasie opowiadaliśmy jakiś czas temu na spotkaniu SysOps/DevOps.

PS. Jeśli macie kopie plików zaszyfrowanych przez ransomware Vortex / Flotera / Polski Ransomware, to ich nie usuwajcie.

PS2 Wbrew doniesieniom innych mediów ransomware Thomasa było dystrybuowane tylko przez niego.