16.03.2018 | 07:57

Adam Haertle

Thomas, najbardziej uciążliwy polski cyberprzestępca, zatrzymany przez policję

Ponad sześć lat oszukiwania polskich internautów, miliony wysłanych e-maili, tysiące zainfekowanych komputerów, setki ofiar ransomware i 29 artykułów w naszym serwisie – to plon działalności zatrzymanego właśnie Tomasza T.

Czekaliśmy na ten dzień od ponad 5 lat, kiedy to pierwszy raz opisaliśmy jego działalność. Armaged0n, Thomas, the.xAx, 2Pac Team – to tylko kilka z pseudonimów używanych przez przestępcę nazywanego od dzisiaj już oficjalnie Tomaszem T. 14 marca Tomasz T. został zatrzymany przez policję i obecnie przebywa w areszcie. Wraz z jego zatrzymaniem kończy się pewna epoka ataków na polskich internautów.

Ponad sześć lat kariery

Pierwsze znane nam ślady oszustw Tomasza T. sięgają listopada roku 2011, kiedy to założył fałszywy sklep z elektroniką. Od tamtej pory jego kariera cyberprzestępcy cały czas się rozwijała – obserwowanie czynionych przez niego postępów było ciekawym doświadczeniem. We właściwym czasie opublikujemy długą listę jego działań wymierzonych w polskich internautów. Są na niej kampanie phishingowe, ataki na konta bankowe, podmienianie numerów rachunków, budowanie botnetów, włamania na strony internetowe, kradzieże danych, infekowanie ofiar za pomocą ransomware i wiele, wiele innych. Jeśli chcecie prześledzić część jego działalności, to polecamy lekturę 29 (!) artykułów w naszym serwisie oznaczonych tagiem „Thomas” – od stycznia 2013 do stycznia 2018. Był chyba jednym z najbardziej płodnych autorów kampanii e-mailowych – oto opracowany przez nas przykładowy graf części z nich z zeszłego roku.

W swoich atakach korzystał z rozlicznych exploitów, trojanów i innych rodzajów złośliwego oprogramowania. Przykładowe zestawienie zróżnicowanego przebiegu jego kampanii w tabelce poniżej:

Szczególnie w ostatnim roku jego kampanie e-mailowe były naprawdę dobrze dopracowane – poniżej znajdziecie krótki przegląd kilku zrzutów ekranu wiadomości wysyłanych przez Tomasza T. do jego ofiar.

W ciągu ostatnich kilku lat analizie jego ataków, nagłaśnianiu ich i przedstawianiu na licznych konferencjach poświęciliśmy setki godzin i bardzo cieszymy się, że Prokuratura Okręgowa w Warszawie wraz z Biurem do Walki z Cyberrzestępczością Komendy Głównej Policji dopisuje dzisiaj odpowiedni epilog.

Podziękowania

Większości osób zaangażowanych przez ostatnie kilka lat w proces prowadzący do jego zatrzymania (a jest ich sporo!) z różnych powodów nie możemy wymienić. Chcemy Wam w tym miejscu gorąco podziękować za Wasz wysiłek, profesjonalizm i zaangażowanie. W szczególności podziękowania należą się:

  • pracownikom firm i instytucji, którzy poświęcili w ciągu ostatnich kilku lat wiele czasu na pieczołowite analizowanie i dokumentowanie działania Thomasa,
  • osobom, które przyczyniły się do ustalenia jego tożsamości i zebrania cennych dowodów,
  • przedstawicielom organów ścigania, którzy wbrew licznym przeciwnościom dążyli do jego zatrzymania,
  • przedstawicielom wymiaru sprawiedliwości, którzy potrafili rozwiązać problemy nierozwiązywalne od lat, by doprowadzić sprawę do końca,
  • Wam, Czytelniczkom i Czytelnikom z3s, którzy regularnie podsyłaliście nam próbki i ślady działalności Thomasa – to także dzięki Wam jego zatrzymanie okazało się w końcu możliwe.

Zatrzymanie Thomasa pokazuje, że nawet przestępcy, którzy od lat żyli w przeświadczeniu bezkarności, wcale nie są bezkarni. Wierzymy, że to nie ostatnia dobra wiadomość w tym roku. A do tematu samego Thomasa pewnie wkrótce jeszcze wrócimy. Tymczasem możecie posłuchać, jak o Thomasie opowiadaliśmy jakiś czas temu na spotkaniu SysOps/DevOps.

PS. Jeśli macie kopie plików zaszyfrowanych przez ransomware Vortex / Flotera / Polski Ransomware, to ich nie usuwajcie.

PS2 Wbrew doniesieniom innych mediów ransomware Thomasa było dystrybuowane tylko przez niego.

Powrót

Komentarze

  • 2018.03.16 08:05 Jan Kowalski

    A co z tym człowiekiem co na hackfroum edukował się z korzystania z botnetów? W jakim aktualnie kraju przebywa?

    Odpowiedz
    • 2018.03.16 08:09 Adam

      To własnie on.

      Odpowiedz
      • 2018.03.16 08:16 Jan Kowalski

        To będziesz musiał prezentacje zaktualizować :)

        Odpowiedz
      • 2018.03.16 08:18 ajjer

        Wiadomo, jak popełnił błąd? ;)

        Odpowiedz
        • 2018.03.16 08:29 Labamba

          Jedyny blad jaki popelnil to wejscie na droge cyberprzestepstwa :)

          Odpowiedz
        • 2018.03.16 08:30 Frend

          Przeczytaj sobie te 29 artykułów to się dowiesz. :)

          Odpowiedz
        • 2018.03.16 09:15 mistake

          Dał się złapać :)

          Odpowiedz
        • 2018.03.16 12:05 msm

          Trudniejszym pytaniem by było „jakiego błędu nie popełnił”.

          Odpowiedz
        • 2018.03.16 15:55 Emilian

          W 2k12 zarejestrował domenę na swoje prawdziwe dane XDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD

          Odpowiedz
          • 2018.03.19 15:32 Konan Katoda

            Jaki popełnił błąd???
            Może gwiazdorzył? Komentował artykuły na temat własnych wyjebek? :)
            A może obficie okraszając komentarze informacjami?
            M.In. printscreanami z otwartą sesją skype do realnie istniejącej osoby? Osoby o imieniu Filip T[…]? Który ma starszego brata Tomasza?
            A może popełnił go wtedy, kiedy na drugi dzień gdy ktoś podał jego prawdziwe dane w komentarzach jego akcji? Wliczając w to IP, numery gg, nicki z hackforums, adres email, datę urodzenia, pesel to postanowił zrobić mistrzowski unik? I aby się ukryć ponownie zmienił IP i zaczął pisać z innego numeru? Ale jednocześnie „nowy” IP był tym samym IP na jakim działały serwery C&C jego kampanii??? Może to go zdradziło?

            Co mogło pójść nie tak??? :D
            Ten gość jest prawdziwym „Stirlitzem” polskiego chakierstwa :)
            Ale przynajmniej będzie na chwilę mniej spamu.

            To co mnie bardziej zastanawia tak czysto teoretycznie, oczywiście, pod warunkiem pan Tomasz T. okaże się prawdziwym twardzielem i nie zacznie sypać wspólnika :) To czy ten drugi łepek, który naszemu mistrzowi anonimizacji napisał ransomware dałby radę hipotetycznie się wykręcić na mocy pentestowej „ustawy Streżyńskiej”?

      • 2018.03.16 08:27 Damian

        Godzinę temu oglądałem twoją prezentację na jego temat ;)
        Oj mam timing.

        Odpowiedz
  • 2018.03.16 08:25 Tomas_prison

    Zatrzymanie a udowodnienie winy to jeszcze długa droga ;)

    Odpowiedz
    • 2018.03.16 15:24 Jego Brat

      Tez mam taka nadzieje

      Odpowiedz
  • 2018.03.16 08:36 A

    Gratulacje z3s. Będzie ciekawy materiał na wykłady :)

    Trzeba przyznać, że występując jako Thomas znacznie zawęził poszukiwania do ludzi o imieniu Tomasz :)

    Napiszcie chociaż jaki wiek i czy pracował w ITC ;)

    Odpowiedz
    • 2018.03.19 15:44 Konan Katoda

      Brat pana Filipa T[…] urodził się 10 września 1995 roku w Piorunowicach. O czym było wiadomo już w 2012 roku.
      Więc gdy zaczynał „sprzedawać” elektronikę z lewych kont na aledrogo miał 16 / 17 lat. A teraz ma 23 latka.
      Co do miejsca pracy to hackforums, kupiony jeden ransomwere + jeden trojan na krzyż używane naprzemiennie. Darmowe doment .tk i z wyjebek uczynił sobie źródło dochodu.

      Odpowiedz
  • 2018.03.16 08:44 WesSie

    NIEWIARYGODNY SUCKES BIURA DO SPRAW CYBERPRZESTĘPCZOSCI I CALEJ SPOLECZNOSCI SEC W POLSCE.

    6 lat zajelo zatrzymanie kolesia ktory sam udostępnil swoje nazwisko na screenshocie w 2012 roku. Niesamowite nie wiem co powiedzieć.

    TEN DZIEN PRZEJDZIE DO HISTORII !!!oneponeone

    Odpowiedz
    • 2018.03.16 10:13 Hgw

      Odkryłeś tajemnicę sukcesu profesjonalistòw PR. Napisałem hello World ten dzień przejedzie do historii.

      Odpowiedz
    • 2018.03.16 10:31 Wujek Pawel

      Moze 6 lat zbierali dowody albo czekali az popelni blad pozwalajacy na zatrzymanie, postawienie zarzutow i areszt.

      Odpowiedz
      • 2018.03.16 12:09 Henry Rogers

        Jego (przypuszczalne) nazwisko jest znane od 2012 r.
        Jest to nazwisko niezbyt częste (w Polsce nosi je ok. dwustu osób), więc teoretycznie policja mogła była od razu zacząć typować sprawców.

        Z drugiej strony nie można było wykluczyć, że pokazanie tego screena było celowe, by zmylić trop i sprawić, że policja zacznie się interesować niewłaściwymi ludźmi.

        Odpowiedz
        • 2018.03.19 15:49 Konan Katoda

          Tak samo jak używanie identycznego loginu z tym nazwiskiem na forum dla scriptkiddies w ogłoszeniach kupię ransomware lub kupię botneta? Które są wysyłane z IP identycznego jak IP serwera C&C.
          Sam piszesz, że nazwisko jet nietypowe. Jak wklepiesz gościa w wyszukiwanie FB to wyskoczy Ci na pierwszej pozycji. Wystarczyło wziąć pod lupę działań operacyjnych literalnie JEDNĄ osobę. Z jego ostrożnością pewnie nie dłużej niż na tydzień, żeby mieć potwierdzenie, że on to on.

          Odpowiedz
    • 2018.03.16 12:09 msm

      Głównym problemem było zawsze to, że siedział w innym kraju. Można się śmiać z tego, fakt że do FBI które aresztuje kogo chce, gdzie chce, nam daleko ;].

      Ale z drugiej strony, zatrzymanie Thomasa to znacznie więcej niż nie zatrzymaine thomasa (wręcz o 100% więcej), więc jest znaczący postęp. A postęp można celebrować :P.

      Odpowiedz
      • 2018.03.16 12:33 Muster

        Sądzisz że FBI aresztuje sobie kogo chce np. w takim UK czy w Norwegii? Bo ja wątpię.

        Odpowiedz
        • 2018.03.16 13:45 Mirek

          W Irlandii aresztuje wiec i w UK pewnie tez.

          Odpowiedz
          • 2018.03.17 10:23 Irlandczyk

            Ale tak sami aresztują, że FBI zgarnia gościa na irlandzkiej ulicy?
            Czy może jednak jest tak, że FBI kontaktuje się z prokuraturą/policją w Irlandii i sama Garda Síochána zatrzymuje?

  • 2018.03.16 08:45 rrrrrrr

    No! W końcu się script kiddie doigrało.

    Odpowiedz
  • 2018.03.16 10:30 wiosna

    wiosna, wiosna, wiosna ach to TY…

    Odpowiedz
    • 2018.03.16 11:45 netflix

      Pora zmienić hasło do Netflixa…

      Odpowiedz
  • 2018.03.16 10:31 Wujek Pawel

    Co nie zmienia faktu, ze wiekszosc jego kampani przypominalo albanskiego wirusa.

    Odpowiedz
  • 2018.03.16 10:34 uchatek

    Zrobi furorę w pierdlu, wyślę mu wazelinę.

    Odpowiedz
    • 2018.03.16 15:32 madcat

      Bartek, a po czym wnioskujesz?

      Odpowiedz
      • 2018.03.17 07:57 uchatek

        Się bywało to się wie

        Odpowiedz
  • 2018.03.16 11:07 Wujek Janusz

    Jaki kraj, tacy cyberprzestępcy

    Odpowiedz
  • 2018.03.16 13:36 Duży Pies

    1,5 roku temu pisałem tu na forum że go dojadą. Prędzej czy później. Bo w końcu gubi pewność siebie i rutyna. Bo nie da się całe życie uciekać.
    Baaaaaardzo serdeczne gratki dla wszystkich zaangażowanych w złapanie gnoja.

    Odpowiedz
  • 2018.03.16 14:11 robik

    szkoda chłopaka dobrze robił

    Odpowiedz
    • 2018.03.16 20:58 obwodnica Kępna

      Tobie?

      Odpowiedz
    • 2018.03.19 15:05 Marcin

      Ciesz się że policja to leniwe ślimaki, w normalnym systemie za takie słowa policja powinna ci zrobić przesłuchanie, przeszukanie dysków itd. ażebyś się nauczył, zmienił i zaczął robić coś pożytecznego.

      Odpowiedz
      • 2018.03.20 16:26 asg

        Wyczuwam skłonności do totalitaryzmu!
        Co zrobił nielegalnego? Czy publiczne pochwalanie włamań komputerowych jest w Polsce czynem zabronionym? Nie.
        A zatem przestań p…ć o przeszukiwaniu dysków. Policja jest od ścigania sprawców czynów zabronionych, a nie od zajmowania się przedzbrodnią czy myślozbrodnią. A od wychowywania dzieci są rodzice, nie policja.

        Odpowiedz
  • 2018.03.16 17:29 damian

    Zestawienie metod to dowód na to jaką kupą jest JS

    Odpowiedz
    • 2018.03.17 01:17 vmmn

      JS masz na mysli java script ?
      Jesli tak to opowiedz nam dla czego sadzisz ze JS jest kupa a inne języki programowania już nie sa

      Odpowiedz
  • 2018.03.16 19:55 Farmazon

    O czym/kim teraz będziecie opowiadać na Secure? :) gratulacje

    Odpowiedz
  • 2018.03.17 12:12 ro-tor

    No i cóż… fajnie, że go złapali, ale wiecie co jest najgorsze? Jeśli taka ameba umysłowa, która sama ujawniła swoje dane już na samym początku jest w stanie przez 6 lat skutecznie się ukrywać (i nawet w sumie to jak rozumiem gdyby gość nie przyjechał do Polski to dalej by się z nim bujali), to co dopiero jeśli za takie zabawy zabierze się ktoś naprawdę zdeterminowany i mądrzejszy, kto zrobi skuteczniejsze kampanie i lepsze szkodniki?

    Fajnie, że złapany, ale po takim czasie to nawet jeśli naprawdę wszyscy się starali i pokonywali problemy natury proceduralnej – to niestety obnaża naszą bezsilność.

    Poza tym chciałbym podkreślić, że działalność w/w byłaby o wiele trudniejsza, gdyby nie pewna polska firma świadcząca usługi hostingowe. I uważam, że służby powinny także się „uśmiechnąć” w ich stronę. Może wizja nadciągających kłopotów przypomniałaby tam właścicielom, że trzeba się nieco wysilić i pilnować co się dzieje z kontami pocztowymi. Masowa wysyłka tysięcy maili może nie wzbudzić czujności tylko innej ameby umysłowej.

    Odpowiedz
  • 2018.03.18 11:40 Radek

    O co chodzi z tym ujawnieniem jego danych w 2012?

    Odpowiedz
  • 2018.03.18 18:04 a

    2 pytania:
    1) Po co te kody w niektórych mejlach do załączników (spakowane archiwa?)?
    2) Jeśli rozpakuje takie zabezpieczone hasłem archiwum (zip,rar,7z) z malwerem przy pomocy ulubionego archiwizatora (a mam wyłączone ukrywanie rozszerzeń więc jak to nie będzie archiwum to nie będę rozpakowywać) to na moim kompie się przecież nic nie stanie, prawda? To czemu to miałoby służyć?

    Odpowiedz
    • 2018.03.19 09:01 Grany

      Po to, zeby antywirus nie swirowal w momencie skanowania poczty (archiwum z hasłem, którego AV nie zna)

      Odpowiedz
  • 2018.03.19 09:17 Adam Kupis

    Fajnie wszystko usystematyzowane w zrozumialej dla przecietnego Kowalskiego formie. Szkoda tylko ze jak udostepnia sie takie edukacyjne trasci na facebooku to nikt tego nie lajkuje przez co trafia do ekstremalnie malego grona osob. No a potem placz i pomusz bo cos sie z komputerem stalo. Ehhh. Filmik super. Pozdrawiam

    Odpowiedz
  • 2018.03.19 13:55 Konan Katoda

    Przecież pełne dane tego gościa Thomasa vel armagedona opsecu były podane przez czytelników/internautów w komentach pod artykułem konkurencyjnego portalu już w 2012 roku. Po tym, jak nasz 'bohater’sam raczył skomentować artykuł na swój temat i opatrzyć go screenem pokazującym statystyki z własnego ataku.
    Kompletnie nie „obrobionycm” screenem.
    Screenem z otwartą sesją skype
    Sesją skype realnie istniejącą osobą
    Osobą o imieniu i nazwisku Filip T[…].
    Która to osoba ma brata o imieniu Tomasz.
    Tomasz T. :)

    Tylko dlaczego Policji zajęło AŻ 6 LAT na zawinięcie na dołek typa, którego mieli praktycznie podanego na widelcu pod nos???

    Odpowiedz
  • 2018.03.19 15:01 Marcin

    Skąd w ludziach taki zachwyt do przestępców ? W mózgach ludzi panoszy się myśl puszczona w telewizji czy artykule lata temu – że mordercy i.in. przestępcy są ponadprzeciętnie inteligentni – a jest to nie prawda. To niekochane dzieci, porzucone, znienawidzone – stąd nienawiść do innych, chęć zemsty. W imię selekcji naturalnej muszą trafić do pierdla amen.

    Odpowiedz
    • 2018.03.19 21:40 Jurek

      Bo każdy polak to w głębi duszy anarchista i antystemowiec.

      W zasadzie bycie romantycznym anarchistą konstytuuje bycie prawdziwym Polakiem.

      Tak nas ukształtowała historia.

      Odpowiedz
      • 2018.03.26 11:00 Robert

        Niezupełnie, taka reakcja jest typowa dla mieszkańców państw postkolonialnych (u nas ZSRR) i przez niektórych nazywana jest postawą cwanego niewolnika, stąd podziw dla różnej maści cwaniaków i oszustów, no bo przecież umiem sobie poradzić w życiu nie. Wracając do tego gościa to mnie nasuwają się dwa skojarzenia, wreszcie i przerażające. Wreszcie wiadomo, natomiast przerażające jest podejście polskiej policji, tyle lat, po prostu żenada. Tak swoją drogą przypomina mi się jak koledze ukradli telefon, jeszcze przez dwa dni mógł go obserwować na goole, ale nasza „wspaniała” policja nawet nie chciała przyjąć zgłoszenia, bo takie sprawy na ogół pozostają nie rozwiązane, a  poza tym to za mała wartość, bardzo urwa edukacyjne i już wiemy co kraść żeby sprawy nie było.

        Odpowiedz
  • 2018.03.28 11:07 unubito

    Mam prośbę do p. Adama i tytułu prezentacji: w takich przypadkach jak Thomas słowo „haker” lepiej zastąpić słowem „złodziej”, lub jak w artykule „cyberprzestępca”.
    Mam na półce „The Hacker’s Dictionary” ESR-a i teraz ten żółty tom wygląda jak almanach bandziorów.
    Pozdrawiam.

    Odpowiedz
  • 2022.08.02 22:34 :(

    czemu film już niedostępny? Super był i fajnie było podesłać nowym osobom do pośmiania się

    Odpowiedz

Zostaw odpowiedź do Damian

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Thomas, najbardziej uciążliwy polski cyberprzestępca, zatrzymany przez policję

Komentarze