Правоохранительные органы Румынии, совместно с ФБР, Европолом и коллегами из других европейских стран, включая Голландию и Великобританию, отчитались о проведении глобальной операции «Баковия» (Operation Bakovia), в результате которой были арестованы пять человек, ответственных за распространение шифровальщиков CTB-Locker и Cerber.
Пятеро задержанных не являются авторами малвари, они были лишь распространителями и «арендаторами», то есть покупали лицензии на использование шифровальщиков на Ransomware-as-a-Service порталах. Малварь упаковывали в архивы, которые маскировали под разнообразные инвойсы, а затем рассылали жертвам посредством обычного почтового спама. Порядка 70% средств, полученных от выкупов, группировка оставляла себе, тогда как оставшиеся 30% перечислялось операторам RaaS-портала.
Первые трое подозреваемых были арестованы в Бухаресте, на основании информации, которую в начале 2017 года румынскому управлению по борьбе с организованной преступностью и терроризмом предоставили коллеги из Европола и голландской полиции. Согласно официальным заявлениям правоохранителей, этих троих подозревают в распространении шифровальщика CTB-Locker посредством почтового спама.
Дальнейшее расследование навело полицию на след еще двух подозреваемых, которые, судя по всему, также являлись частью этой группировки. Их подозревают в распространении шифровальщика Cerber в США. С этим задержанием румынским властям помогла американская Секретная служба, обеспечившая международный ордер на арест, когда подозреваемые уже пытались покинуть страну.
Официальное видео ниже демонстрирует обыск, проведенный румынской полицией. Согласно данным Европола, правоохранители изъяли «большое количество» жестких дисков, ноутбуков, внешних накопителей, устройства для майнинга криптовалют, а также различную документацию.
Опубликованный Секретной службой аффидевит проливает интересные подробности на это дело. Так, согласно документу, двое задержанных, Михай Изванка (Mihai Isvanca) и Евелин Чизмару (Eveline Cismaru), обвиняются во взломе 123 из 187 камер видеонаблюдения, принадлежащих Центральному полицейскому департаменту округа Колумбия. Эти камеры — часть замкнутой телевизионной системы, которую полиция Вашингтона использует для наблюдения за различными публичными местами по всему городу. Каждую из них контролирует «специализированный компьютер, установленный непосредственно возле камеры и подключенный к ней».
Опубликованный документ гласит, что подозреваемые сумели скомпрометировать камеры и контролирующие их компьютеры, проникли в системы посредством RDP и запустили там ряд приложений, в том числе для рассылки вредоносного спама.
Инцидент произошел 9 января 2017 года. Атака была обнаружена уже 12 января, и полиция была вынуждена отключить систему на четыре дня, чтобы полностью избавиться от заражения и его последствий.