Prokuratura Regionalna w Warszawie poinformowała o rozbiciu zorganizowanej grupy cyberprzestępczej zajmującej się tworzeniem fałszywych sklepów internetowych, dystrybucją złośliwego oprogramowania oraz licznymi włamaniami na rachunki bankowe.
Śledztwo przeciwko 9 osobom podejrzanym o udział w zorganizowanej grupie przestępczej jest wielowątkowe i obejmuje wiele czynów popełnionych na szkodę kilkunastu tysięcy pokrzywdzonych.
Wobec czterech podejrzanych: Janusza K., Kamila S., Łukasza K. oraz Pawła K. stosowane są środki zapobiegawcze w postaci tymczasowego aresztowania. Prokuratura podkreśla, że podejrzani ci to osoby zajmujące bardzo wysoką pozycję wśród polskich cyberprzestępców, aktywni na forach w DarkWeb, utrzymujący kontakty z hakerami z Rosji oraz Korei Północnej oraz dysponujący złośliwym oprogramowaniem. W zakresie Kamila S. nawiązano współpracę z FBI i ustalono, że objęty jest on w USA postępowaniem karnym dotyczącym dystrybucji złośliwego oprogramowania ransomware.
Sprawą zajmował się powołany zarządzeniem Prokuratora Krajowego zespół wraz z Wydziałem do Zwalczania Aktów Terroru Centralnego Biura Śledczego Policji, Wydziałem II Zarządu III Centralnego Biura Śledczego Policji, Wydziałem dw. z Cyberprzestępczością Komendy Wojewódzkiej Policji w Gorzowie Wielkopolskim oraz Wydziałem dw. z Cyberprzestępczością Komendy Wojewódzkiej Policji w Łodzi.
W toku postępowania ustalono m.in., że Janusz K. oraz Łukasz K. odpowiedzialni są za przesłanie w dniu 23 maja 2019 informacji o podłożeniu ładunku wybuchowego w jednej ze szkół w Łęczycy oraz przesłanie w dniach 26-27 czerwca 2019 roku wiadomości elektronicznej o podłożeniu ładunku wybuchowego na adresy poczty elektronicznej 1066 placówek przedszkolnych zlokalizowanych na terenie całej Rzeczypospolitej Polskiej. Wywołany przez nich fałszywy alarm bombowy doprowadził do ewakuacji nie mniej niż 10 536 osób z co najmniej 275 placówek przedszkolnych na terenie całego kraju.
Ci sami sprawcy odpowiedzialni są również za przesłanie w dniu 17 lipca 2019 roku informacji o podłożeniu bliżej nieokreślonych ładunków wybuchowych na Dworcu Zachodnim w Warszawie.
Jak ustalono, zleceniodawcą wysłania wiadomości o podłożeniu ładunków wybuchowych w szkołach w Łęczycy oraz przedszkolach na terenie całego kraju był Łukasz K. Szukał on na forach „cyberprzestępczych” osoby, która pomogłaby mu zemścić się na dawnym wspólniku, z którym miał konflikt dotyczący rozliczeń finansowych. Na jego ogłoszenie odpowiedział Janusz K., który podszywając się pod adres mailowy byłego wspólnika Łukasza K. wysłał wiadomość o podłożeniu ładunków wybuchowych w szkołach w Łęczycy.
Sprawcy próbowali również skompromitować żonę byłego wspólnika Łukasza K. publikując na jej temat materiały sugerujące, że przyjęła korzyść majątkową. Ponadto kierowali pod jej adresem groźby karalne oraz nękali ją publikując m.in. jej numer telefonu na stronach z anonsami towarzyskimi w internecie. Kiedy w sprawę nękania małżeństwa włączyło się biuro detektywistyczne, Janusz K. wykorzystując nieuprawniony dostęp do bazy danych jednego z największych operatorów telekomunikacyjnych i korzystając z przejętego systemu, wygenerował na dane detektywa faktury na znaczne kwoty.
W toku postępowania ustalono też, że Janusz K. wspólnie z innymi ustalonymi osobami zajmował się tworzeniem i prowadzeniem fałszywych sklepów internetowych. Jak wynika z jego wyjaśnień, stworzył i prowadził około 50 fałszywych sklepów, w wyniku działania których oszukanych zostało około 10 tys. osób.
Jak ustalono, Kamil S. oraz Janusz K. posiadali i rozsyłali złośliwe oprogramowanie: REMCOS, CERBERUS, DANABOT, NETWIRE, EMOTET, NJRAT, ANUBIS. Oprogramowaniem tym infekowano zarówno komputery, jak również urządzenia mobilne z systemem Android. Zainfekowali urządzenia nie miej niż 1 tys. osób z terenu całej Polski.
W poszczególnych kampaniach podszywano się pod Krajową Administrację Skarbową, ZUS, komorników. Rozsyłano również linki do pobrania złośliwego oprogramowania na urządzenia mobilne, które imitowało aplikację m.in. firm kurierskich.
Ustalono także, iż jedna z zatrzymanych osób planowała zorganizowany atak za pomocą oprogramowania szyfrującego ransomware. Celem ataku miało być zaszyfrowanie wielu tysięcy urządzeń i doprowadzenie do paraliżu administracji publicznej.
Na nośnikach podejrzanych zabezpieczono dane dotyczące kradzieży z włamaniem środków z rachunków klientów kilku banków po uprzednim wyrobieniu duplikatu karty SIM. Jak ustalono, po uprzednim zainfekowaniu komputerów lub urządzeń mobilnych pokrzywdzonych, sprawcy uzyskiwali nieuprawniony dostęp do danych, w tym również pozyskiwali loginy i hasła do bankowości internetowej, numery PESEL oraz dane właściciela rachunku bankowego, na którym były pieniądze. Po pozyskaniu danych pokrzywdzonego wyrabiano na jego dane fałszywy dowód osobisty, z wykorzystaniem którego uzyskiwano duplikat karty SIM u operatora telekomunikacyjnego. W chwili kiedy sprawcy aktywowali duplikat karty SIM, karta SIM osoby uprawnionej była deaktywowana. Od tego momentu sprawca przejmował połączenia telefoniczne i wiadomości SMS – w tym również wiadomości SMS zawierające kody do potwierdzania transakcji bankowych. Sprawcy logowali się do rachunku bankowego pokrzywdzonego i zlecali przelewy na rachunki służące do prania pieniędzy (zakładane na tzw. „słupy”) lub na giełdy kryptowalut.
Objęte śledztwem czyny obejmują m.in. dokonanie kradzieży środków z rachunków bankowych w kwotach od 200 tys. zł do 240 tys. zł na szkodę trzech pokrzywdzonych, a także usiłowanie kradzieży z włamaniem pieniędzy w łącznej kwocie 7,9 mln zł na szkodę spółki akcyjnej.