Ένας λεγόμενος “ηθικός” χάκερ και η συμμορία του ransomware συνελήφθησαν στο Άμστερνταμ, αλλά οι αρχές λένε ότι εκατομμύρια ευαίσθητων προσωπικών δεδομένων που έχουν κλαπεί από τους χάκερ εξακολουθούν να είναι διαθέσιμα στον σκοτεινό ιστό.
Η ολλανδική αστυνομία συνέλαβε τρεις άνδρες, συμπεριλαμβανομένου ενός “ηθικού” χάκερ που εργάζεται για ένα ινστιτούτο αποκάλυψης ευπάθειας που υποστηρίζεται από την κυβέρνηση, σε σχέση με ένα κύκλωμα διπλού εκβιασμού ransomware που άφησε εκατομμύρια προσωπικές πληροφορίες του θύματός του να επιπλέουν στον σκοτεινό ιστό για να χρησιμοποιηθούν από άλλους εγκληματίες του κυβερνοχώρου.
Η σύλληψη της 23ης Ιανουαρίου, που ανακοινώθηκε μόλις αυτή την εβδομάδα, ακολούθησ την διετή έρευνα από τις υπηρεσίες πληροφοριών των Κάτω Χωρών, σύμφωνα με το ολλανδικό ειδησεογραφικό πρακτορείο NOS.
Η ομάδα χάκερ κατηγορείται ότι απέσπασε εκατομμύρια δεδομένα – και δολάρια – από πολυάριθμες ολλανδικές και διεθνείς εταιρείες χρησιμοποιώντας μια τεχνική ransomware που ονομάζεται διπλός εκβιασμός.
Διπλός εκβιασμός είναι όταν μια ομάδα ransomware όχι μόνο κερδίζει από την πληρωμή λύτρων του θύματος, αλλά και από την πώληση των δεδομένων που έκλεψαν αρχικά, συνήθως στον εγκληματία που πλειοδότησε με την υψηλότερη προσφορά στον σκοτεινό ιστό.
Η τριάδα, ηλικίας 18 έως 21 ετών, λέγεται ότι κέρδισε περισσότερα από 2,6 εκατομμύρια δολάρια τα τελευταία χρόνια.
Το “θησαυροφυλάκιο” των κλεμμένων προσωπικών δεδομένων περιελάμβανε ονόματα ατόμων, διευθύνσεις, αριθμούς τηλεφώνου, ημερομηνίες γέννησης και πιο ευαίσθητες πληροφορίες όπως αριθμούς τραπεζικών λογαριασμών, πιστωτικές κάρτες, κωδικούς πρόσβασης, στοιχεία πινακίδων κυκλοφορίας, αριθμούς εξυπηρέτησης πολιτών και στοιχεία διαβατηρίου.
Αυτό που το κάνει ακόμη πιο κραυγαλέο είναι ότι ένας από τους 21χρονους χάκερ απασχολήθηκε πλήρως ως ερευνητής δεοντολογίας για το Ολλανδικό Ινστιτούτο Αποκάλυψης Ευπάθειας (DIVD) που συνδέεται με την κυβέρνηση.
Ο αποκαλούμενος «ηθικός χάκερ» – που η αστυνομία ταυτοποίησε ως ο αρχηγός της συμμορίας – αναφέρθηκε ότι είχε πρόσβαση σε ευαίσθητες πληροφορίες και πράγματι συμμετείχε σε εμπιστευτικές έρευνες του DIVD.
Ένας διευθυντής του DIVD έστειλε ένα εσωτερικό υπόμνημα του Slack μετά τη σύλληψη δηλώνοντας ότι «δεν υπήρχε καμία ένδειξη ότι εμπλέκεται σε τέτοιου είδους θέματα», ανέφερε η NOS.
«Τον αποκλείσαμε αμέσως και του αρνηθήκαμε την πρόσβαση στα συστήματά μας», είπε ο διαχειριστής κρίσεων.
«Είμαστε το ίδιο σοκαρισμένοι όσο όλοι… ήταν ένας καλός συνάδελφος», είπαν.
Η ολλανδική αστυνομία είπε ότι τα αιτήματα για λύτρα ήταν, κατά μέσο όρο, 100.000 ευρώ (105 χιλιάδες δολάρια ΗΠΑ) ανά εταιρεία, αλλά έφτασαν τα 700.000 ευρώ (745 χιλιάδες δολάρια) ανάλογα με το θύμα.