استهدفت السلطات الألمانية والأوكرانية المشتبه بهم الرئيسيين في مجموعة جرائم الإنترنت التي تسببت في هجمات واسعة النطاق باستخدام DoppelPaymer ransomware.
تم تنفيذ العملية بتاريخ ٢٨ فبراير ٢٠٢٣ بدعم من الشرطة الهولندية ومكتب التحقيقات الفيدرالي الأمريكي، وفقًا لـ اليوروبول.
تضمنت العمليات غارة على منزل مواطن ألماني وعمليات تفتيش في مدينتي كييف وخاركيف الأوكرانيين. تم استجواب مواطن أوكراني أيضًا. يُعتقد أن كلا الشخصين قد شغل مناصب حاسمة في مجموعة DoppelPaymer.
أضافت الوكالة أن تحليل الطب الشرعي للمعدات المضبوطة جارٍ حتى الآن لتحديد الدور الدقيق للمشتبه بهم وعلاقاتهم مع شركائهم الآخرين.
ظهر في أبريل 2019 فيروس DoppelPaymer، حسب شركة الأمن السيبراني CrowdStrike، وهو يشارك معظم برمجياته مع سلالة أخرى من برامج الفدية المعروفة باسم BitPaymer، والتي ترجع إلى مجموعة إجرامية إلكترونية متواجدة في روسيا تسمى Indrik Spider (Evil Corp).
يوضح أن البرامج الضارة المشفرة للملفات تتداخل أيضًا بشكل تكتيكي مع برنامج Dridex الضار سيئ السمعة، وهو حصان طروادة مصرفي مخصص لنظام التشغيل Windows ولديه قدرات سرقة المعلومات والروبوتات.
بالرغم من ذلك، هناك عدة اختلافات بين DoppelPaymer و BitPaymer، مما يشير إلى انفصال أحد أو أكثر من أعضاء Indrik Spider عن المجموعة وتطوير شفرات المصدر لعمليات الفدية Big Game Hunting الخاصة بهم، بحسب تصريحات CrowdStrike.
تم تشكيل Indrik Spider في عام 2014 بواسطة الشركات التابعة السابقة لشبكة GameOver Zeus الإجرامية. تعد Indrik Spider شبكة P2P للروبوتات وهي خليفة حصان طروادة Zeus Banking.
على الرغم من ذلك، فإن زيادة التركيز في عمليات إنفاذ القانون دفعت المجموعة إلى تغيير تكتيكاتها واستخدام برامج الفدية لابتزاز الضحايا وجني أرباح غير قانونية.
قالت يوروبول: "تم تمكين هجمات DoppelPaymer بواسطة برمجيات Emotet الخبيثة. تم توزيع برنامج الفدية عبر قنوات مختلفة، بما في ذلك رسائل البريد الإلكتروني المخادعة والبريد العشوائي مع المستندات المرفقة التي تحتوي على تعليمات برمجية ضارة، إما JavaScript أو VBScript."
يشير التقديرات إلى أن الأطراف المسؤولة عن المخطط الإجرامي استهدفت ما لا يقل عن 37 شركة في ألمانيا، ودفع الضحايا في الولايات المتحدة ما لا يقل عن 40 مليون يورو بين مايو 2019 ومارس 2021.