Międzynarodowa operacja policyjna o kryptonimie „Elicius” doprowadziła do rozbicia gangu ransomware „Diskstation”, który od 2021 roku atakował firmy na całym świecie, szyfrując dane na urządzeniach NAS i żądając okupu sięgającego setek tysięcy dolarów. Głównego podejrzanego zatrzymano w Bukareszcie.
Cichy wróg firm z całej Europy
Przez ponad trzy lata gang Diskstation działał w cieniu, celując w urządzenia sieciowej pamięci masowej Synology (NAS), z których korzystają tysiące firm — od agencji graficznych po NGO. Urządzenia te, służące do przechowywania danych, tworzenia kopii zapasowych i wewnętrznej wymiany plików, stały się idealnym celem: wiele z nich działało bez odpowiednich zabezpieczeń, z otwartym dostępem z poziomu Internetu. Ataki przebiegały według prostego, ale skutecznego schematu. Gdy cyberprzestępcom udało się dostać do systemu — wykorzystując niezabezpieczone usługi sieciowe lub przestarzałe oprogramowanie — zaszyfrowane zostawały wszystkie dane znajdujące się na urządzeniu NAS. Użytkownik otrzymywał lakoniczną notatkę z żądaniem okupu w kryptowalucie, zazwyczaj opiewającą na kwotę od 10 do nawet 200 tysięcy dolarów. Włoska Policja Pocztowa, która jako pierwsza zareagowała na lawinę zgłoszeń od lokalnych firm z regionu Lombardii, określiła sytuację jako „paraliż produkcyjny”. Dane przechowywane na urządzeniach NAS były nie do odzyskania bez klucza deszyfrującego, a próby obejścia blokady kończyły się niepowodzeniem. Poszkodowani byli nie tylko przedstawiciele sektora kreatywnego — wśród ofiar znalazły się również organizacje pozarządowe zajmujące się działalnością charytatywną i ochroną praw obywatelskich.
Współpraca ponad granicami
Śledztwo ruszyło z pełnym impetem dzięki wsparciu Europolu. To właśnie ta agencja koordynowała działania międzynarodowe, które objęły również Francję i Rumunię. Istotne było połączenie klasycznej analizy kryminalistycznej z technikami cyfrowymi — w tym analizą blockchain, która pozwoliła na namierzenie ścieżki płatności okupu. W czerwcu 2024 roku, po miesiącach obserwacji i gromadzenia dowodów, śledczy przeprowadzili serię nalotów na wytypowane adresy w Bukareszcie. To właśnie wtedy zatrzymano 44-letniego obywatela Rumunii, którego policja uznała za lidera grupy Diskstation. Mężczyzna został aresztowany na gorącym uczynku i trafił do aresztu tymczasowego, gdzie czeka na postawienie mu zarzutów dotyczących nieautoryzowanego dostępu do systemów komputerowych oraz wymuszeń z użyciem środków kryptowalutowych. Na miejscu zabezpieczono sprzęt komputerowy, nośniki danych oraz dokumentację, która ma potwierdzać skalę działalności grupy. Diskstation działało wcześniej pod wieloma nazwami — „Quick Security”, „7even Security” czy „Umbrella Security” — zmieniając metody działania i podszywając się pod legalne komunikaty o błędach systemowych.
Choć aresztowanie lidera i rozbicie zaplecza operacyjnego znacznie ogranicza możliwości grupy, Europol nie wyklucza, że jej odłamowe struktury mogą jeszcze próbować działać. Śledztwo nadal trwa, a śledczy analizują dane pozyskane podczas nalotów, które mogą prowadzić do kolejnych zatrzymań.
