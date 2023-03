Procurorii DIICOT nu au reușit să dea de urma unui hacker care a furat datele unei firme din Sibiu. Dosarul penal deschis anul trecut a fost închis definitiv printr-o decizie a unui judecător.

În dosar au fost efectuate cercetări cu privire la infracțiunile de acces ilegal la un sistem informatic și alterarea integrității datelor informatice.

În plângerea depusă, reprezentantul firmei a susținut că în 2 februarie 2022, persoane necunoscute au criptat toate datele aflate pe serverul societății, care nu au mai putut fi accesate. În momentul în care s-a încercat accesarea programului de contabilitate care este găzduit pe server s-a deschis o fereastră notepad în care se menționa faptul că toate datele au fost criptate și se solicita trimiterea unui e-mail la două adrese de email sau un mesaj prin intermediul aplicației Telegram la userul „@devos_support".

„În data de 02.02.2022, colegele care operează în programul firmei de contabilitate și gestiune mi-au adus la cunoștință faptul că nu funcționează aplicația, că nu au acces și că l-au chemat pe colegul nostru responsabil pe partea de IT, care lucrează în cadrul firmei de aproximativ 4-5 ani. Colegul meu a conștientizat ce s-a întâmplat, după ce a evaluat situația pentru o perioadă de aproximativ 3 ore, timp în care a conectat la serverul firmei alte 2 hard diskuri pe care aveam stocate 2 backupuri, în acest fel compromițându-le și pe acestea, întrucât nu și-a dat seama că, la rândul lor, se pot virusa.

(...) A doua zi am luat legătura cu firma care se ocupă de mentenanța softului informatic, care mi-au spus că au un backup realizat aproximativ la mijloc lunii decembrie 2021 (...) Ulterior am fost sfătuit să iau legătura cu cei de la Bitdefender, însă în urma unei corespondențe îndelungate și fără rezultate, nu am ajuns la nicio soluție. Din acel moment am început restaurarea manuală a datelor și pot spune că astăzi la data de 11.03.2022, în proporție de aproximativ 90%, acestea au fost restaurate”, a declarat reprezentantul societății sibiene.

Ancheta polițiștilor de la ”Crimă Organizată”

Acesta a pus la dispoziția organelor de poliție, în format electronic, un număr de 13 fișiere criptate și mesajul transmis de hacker.

Polițiștii de la ”Crimă Organizată” au efectuat verificări și investigații și au analizat fișierele criptate și mesajul de răscumpărare. S-a constatat că fișierele puse la dispoziție de către persoana vătămată au fost infectate cu virusul ce poartă denumirea de „Phobos”.

Cum acționează virusul: „La fel ca majoritatea programelor de acest tip, virusul blochează accesul la fișiere prin criptare, schimbă numele fișierelor și oferă victimelor instrucțiuni despre cum să-și recupereze fișierele. Acest ransomware redenumește toate fișierele criptate adăugând ID-ul victimei, adresa de e-mail a dezvoltatorului și adăugând extensia (...) la numele fișierelor.

Victimele primesc două mesaje de răscumpărare: unul într-o fereastră pop-up (fișier „info.hta”) și altul într-un fișier text numit „info.txt”; Fișierul „info.txt” conține o adresă de e-mail care ar trebui folosită pentru a contacta criminalii cibernetici iar fereastra „info.hta” conține un mesaj de răscumpărare mai detaliat, care afirmă că e-mailul trebuie să includă ID-ul desemnat și poate conține până la cinci atașamente (fișiere criptate) pe care criminalii cibernetici le vor decripta gratuit.

Pentru a restaura fișierele rămase, victimele trebuie să folosească un instrument de decriptare, costul instrumentului fiind necunoscut. Se menționează că acest lucru depinde de cât de repede contactează victimele dezvoltatorii. Răscumpărarea trebuie plătită în Bitcoin iar încercarea de a redenumi fișierele criptate sau încercarea de a le decripta cu alt software poate cauza pierderea permanentă a datelor”.

De acord cu plata răscumpărării

În urma analizei datelor puse la dispoziție de către reprezentantul firmei s-a constatat că așa s-a întâmplat și în acest caz. A fost creat un fișier cu denumirea “info.txt” în care sunt menționate modalitățile de contactare a creatorilor virusului, fie prin intermediul e-mailului, Telegram sau prin instalarea unui Jabber client.

În final, reprezentanții firmei au fost de acord să discute cu hackerii. Astfel, în perioada 4 februarie – 6 februarie 2022, reprezentanții companiei au negociat cu atacatorii prin intermediul unei adrese de mail și au convenit că pentru obținerea cheii de decriptare să plătească suma de 600 de dolari. Acest lucru s-a întâmplat în ziua de 6 februarie 2022, când s-a transferat 0,01391632 BTC în portofelul electronic precizat de către hackeri. Ulterior, atacatorii le-au furnizat cheia de decriptare și le-au indicat modalitatea de recuperare a datelor informatice criptate inițial.

Prin urmare, în ianuarie 2023, firma din Sibiu a anunțat DIICOT că nu mai dorește continuarea cercetărilor. Procurorul a dispus renunțarea la urmărirea penală, decizie care a fost menținută de Tribunalul Sibiu în 1 martie 2023.