Autoritățile din Republica Moldova au arestat un cetățean străin în vârstă de 45 de ani, suspectat de implicare în atacuri ransomware care au vizat organizații din Regatul Țărilor de Jos (Olanda).
Atacurile au avut loc în 2021, folosind varianta DoppelPaymer ransomware, un tip de malware conceput pentru a cripta fișierele victimelor, permițând astfel atacatorilor să ceară o răscumpărare în schimbul cheii de decriptare și al recuperării datelor.
Gruparea DoppelPaymer nu mai este activă sub acest nume, însă unii membri continuă să atace organizații folosind alte familii de malware de tip ransomware.
Cât timp era activă, gruparea viza în principal companii mari și infrastructuri critice, cauzând pierderi financiare semnificative.
În februarie 2023, operațiuni ale autorităților din Germania și Ucraina, cu ajutorul Europol, FBI și al autorităților din Țările de Jos, au condus la arestarea a doi membri de bază ai grupării DoppelPaymer.
Pe 6 mai, autoritățile din Republica Moldova au arestat un cetățean de 45 de ani suspectat că ar fi implicat în atacul ransomware asupra Dutch Research Council (NWO) cu malware-ul DoppelPaymer.
Prejudiciul total cauzat de atac s-a ridicat la 4.5 milioane de euro.
Extrădare în Țările de Jos
Reținerea s-a făcut în cadrul unei operațiuni internaționale cu implicarea ofițerilor Centrului pentru Combaterea Crimelor Cibernetice și ai Direcției Urmărire Penală INI, procurorilor PCCOCS (Procuratura pentru Combaterea Criminalității Organizate și Cauze Speciale) din Republica Moldova și autorităților din Regatul Țărilor de Jos.
Bărbatul se afla temporar în Republica Moldova și fusese dat în urmărire internațională pentru comiterea mai multor atacuri ransomware, șantaj și spălare de bani.
„La 6 mai 2025, oamenii legii au efectuat percheziții la domiciliul și automobilul suspectului, fiind depistate și ridicate probe relevante cu privire la comiterea infracțiunilor.” – Poliția Republicii Moldova
Autoritățile au confiscat mijloace financiare, probe digitale și instrumente financiare:
- 84.800 de euro
- un portofel electronic
- două laptopuri, un telefon mobil, o tabletă, două dispozitive portabile de stocare a datelor și șase carduri de memorie
- șase carduri bancare
Suspectul a fost plasat în arest și urmează a fi extrădat imediat ce toate formalitățile legale vor fi îndeplinite pentru transferul acestuia către autoritățile olandeze.
Activitatea DoppelPaymer
DoppelPaymer ransomware a apărut în iunie 2019, după divizarea grupului infracțional Evil Corp.
O parte dintre membrii acestei organizații au creat o nouă structură criminală, folosind cod sursă similar cu cel al malware-ului BitPaymer.
Operațiunea s-a adaptat rapid la strategiile moderne de atac cibernetic, vizând companii mari și infrastructuri critice la nivel global.
Metodele principale de extorcare includeau exfiltrarea datelor sensibile înainte de criptare, publicarea informațiilor furate dacă victima refuza plata, amenințări suplimentare prin apeluri telefonice și presiuni directe asupra victimelor.
Atacatorii recurgeau uneori și la șantaj suplimentar: amenințarea cu ștergerea cheilor de decriptare dacă victimele apelau la negociatori profesioniști.
Lista victimelor DoppelPaymer include organizatii cu renume atat din mediul privat cat si din sectorul public:
- Foxconn – unul dintre cei mai mari producători de electronice la nivel global
- Kia Motors America
- Delaware County, Pennsylvania– administrația locală a platit forțată să plătească 500,000 USD pentru a recăpăta accesul la date critice
- Compal – producător major de laptopuri
- Universitatea Newcastle
- Spitalul Universitar Düsseldorf
Conform autorităților din Germania, organizația DoppelPaymer a atacat cel puțin 600 de organizații din întreaga lume. Între mai 2019 și martie 2021, gruparea a încasat peste USD 42,5 milioane doar de la victime din Statele Unite.
