Їхню діяльність, скоріш за все, координують зі Санкт-Петербурга.
Мовиться про ту анонімну групу кіберзлочинців, яка свого часу розіслала електронною поштою понад 1,6 мільйона листів, оформлених у вигляді послань від шведської телекомунікаційної компанії Telia і поштового оператора PostNord. Якщо відкрити такого мейла й перейти за посиланням, яке до нього додається, то це призводить до блокування комп'ютера користувача. За зняття блокування здирники вимагали відступне.
Відслідкувати діяльність гакерів вдалося шведській громадській телекомпанії SVT. Її працівники спромоглися отримати доступ до витоку бази даних кіберзлочинців. На слід інтернет-здирників вийшли журналісти інформаційної передачі SVT Nyheter спільно з авторами розслідувальної програми Uppdrag granskning. За даними репортерів, зараженими виявилися комп'ютери в 31 країні, зокрема в Швеції, Австралії, Польщі, Іспанії, Італії, Туреччині та Індії. Розмір відступного в більшості випадків коливається від 400 до 600 євро, перерахувати його пропонують в біткойнах.
Висновку про те, що за злочинами стоять гакери з Росії, автори розслідування дійшли, аналізуючи отримане внаслідок витоку листування здирників, яке «ведеться російською». Ідеться в ньому про банківські рахунки, інфіковані комп'ютери і обсяги коштів, які вдалося заробити внаслідок кібернападів.
Окрім того, як подає канал SVT, програма шифрування, яку використовували злочинці, відсилає спеціальний ключ на сервер у Росії. А IP-адреса, з якої координують діяльність гакерів, також керується з підключення в центрі Санкт-Петербурга.
30.10.2017