Dziewięć osób jest podejrzanych o udział w zorganizowanej grupie przestępczej, oszustwa internetowe, kradzieże z rachunków bankowych, pranie brudnych pieniędzy i wywoływanie fałszywych alarmów bombowych. Czterech podejrzanych: Janusz K., Kamil S., Łukasz K. oraz Paweł K. zostało aresztowanych – informuje warszawska prokuratura.

Podejrzani to czołowi cyberprzestępcy

Służby twierdzą, że podejrzani zajmują bardzo wysoką pozycję wśród polskich cyberprzestępców. Byli aktywni na forach w DarkWeb, utrzymując kontakty z hakerami z Rosji i Korei Północnej. FBI poinformowała, że wobec Kamila S. toczy się postępowanie karne w USA w związku z dystrybucją ransomware.

W śledztwie, w którym zaangażowanych jest szereg służb (prokuratura, CBŚP, komendy wojewódzkie policji), postępowanie jest wielowątkowe i obejmuje wiele czynów popełnionych na szkodę kilkunastu tysięcy pokrzywdzonych.

Fałszywe sklepy internetowe

Ustalono, że Janusz K. wspólnie z innymi osobami zajmował się tworzeniem i prowadzeniem fałszywych sklepów internetowych. Jak wynika z jego wyjaśnień, stworzył i prowadził około 50 fikcyjnych sklepów. W rezultacie oszukano ok. 10 tys. osób.

Chcieli sparaliżować administrację

Jak ustalono Kamil S. oraz Janusz K. posiadali i rozsyłali złośliwe oprogramowanie: REMCOS, CERBERUS, DANABOT, NETWIRE, EMOTET, NJRAT, ANUBIS. Oprogramowaniem tym infekowano zarówno komputery, jak i telefony z Androidem (liczba ofiar: co najmniej 1 tys. osób w Polsce).

Podejrzani rozprowadzając szkodniki podszywali się pod KAS, ZUS, komorników, firmy kurierskie.

Ze śledztwa wynika, że jeden z zatrzymanych planował zorganizowany atak przy pomocy ransomware. Celem miało być zaszyfrowanie wielu tysięcy urządzeń i doprowadzenie do paraliżu administracji publicznej.

Jak okradali konta bankowe

Na nośnikach podejrzanych zabezpieczono dane dotyczące kradzieży z włamaniem środków z rachunków klientów kilku banków po uprzednim wyrobieniu duplikatu karty SIM.

Jak ustalono, po zainfekowaniu komputerów lub urządzeń mobilnych, sprawcy uzyskiwali dostęp m.in. do loginów i haseł do kont bankowych ofiar, numerów PESEL oraz danych właściciela rachunku.

Na skradzione dane pokrzywdzonego wyrabiano fałszywy dowód osobisty. Mając go w ręku podejrzani załatwiali duplikat karty SIM u operatora telekomunikacyjnego. Tym samym karta SIM ofiary była deaktywowana.

Od tego momentu sprawca przejmował połączenia telefoniczne i wiadomości SMS – w tym kody do potwierdzania transakcji bankowych. Sprawcy logowali się do rachunku bankowego pokrzywdzonego i zlecali przelewy na konta służące do prania pieniędzy (zakładane na tzw. „słupy”) lub na giełdy kryptowalut.

Czyny objęte śledztwem dotyczą m.in. kradzieży 200 – 240 tys. zł z rachunków bankowych trzech pokrzywdzonych, a także usiłowanie kradzieży z włamaniem 7,9 mln zł na szkodę spółki akcyjnej.

Alarmy bombowe zemstą na wspólniku

W toku postępowania okazało się, że Janusz K. oraz Łukasz K. odpowiadają m.in. za fałszywe alarmy bombowe w ponad 1 tys. przedszkoli w czerwcu 2019 r. Mailem zawiadamiali placówki o podłożeniu ładunku. Ewakuacja objęła ponad 10 tys. osób.

Ci sami sprawcy odpowiedzialni są również za przesłanie w lipcu 2019 r. informacji o podłożeniu bomby na Dworcu Zachodnim w Warszawie.

Jak ustalono, zleceniodawcą był Łukasz K. Szukał on na forach cyberprzestępczych osoby, która pomogłaby mu zemścić się na dawnym wspólniku, z którym miał konflikt dotyczący rozliczeń finansowych. Na jego ogłoszenie odpowiedział Janusz K., który podszywając się pod adres mailowy byłego wspólnika Łukasza K. wysłał wiadomość o podłożeniu ładunków wybuchowych.

Śledztwo ma charakter rozwojowy. Zaangażowanych jest szereg służb: Prokuratura Regionalna w Warszawie, wydział do zwalczania aktów terroru CBŚP, wydział II zarządu III centralnego Biura Śledczego Policji, wydziały do walki z cyberprzestępczością komend wojewódzkich w Gorzowie Wielkopolskim oraz w Łodzi.