Как сообщается, неизвестный подсадил в IT-системы четырех немецких компаний программу-троян «Rapid (VI)», и зашифровал с ее помощью все важные документы и данные. Связавшись по электронной почте с сотрудниками этих компаний, он предложил восстановить данные.
Восстановление он попросил оплатить биткойнами, в эквиваленте 2 тыс. долларов США (если деньги переведут в течение 2 дней). Если же с переводом денег возникнут проволочки – стоимость дешифровки автоматически поднимется до 5 тысяч долларов.
Чтобы подтвердить, что он в состоянии сдержать свое обещание, хакер прислал несколько дешифрованных файлов.
Большинство законопослушных немцев не стали вести переговоров с вымогателем и обратились в компетентные органы. И только сотрудник частного конструкторского бюро попробовал выполнить требования вымогателя и отправил ему 0,25 ВТС (2002,00 $). Несмотря на это, хакер так и не выполнил своего обещания.
Проанализировав все факты и данные, немецкая полиция пришла к заключению, что, хотя адреса электронной почты, с которых писали компаниям, были разными, все эти случаи имеют схожий почерк – одинаковый текст сообщений и та же самая версия программы-трояна, несмотря на то, что на момент инцидента существовали уже более свежие версии. Следовательно, пришли к заключению немцы, во всех эпизодах фигурирует один и тот же человек, либо группа людей.
Использовав телекоммуникационные методы слежения, правоохранители выяснили IP-адреса, с которых злоумышленник осуществлял доступ к почтовому серверу и переписку. Большинство из них удалось проследить до типичных серверов анонимизации TOR и VPN, на этом следы обрывались и следствию не удалось продвинуться в данном направлении.
Однако часть соединений осуществлялась с украинских IP-адресов. Сперва эти случаи были единичными, а в последствии они участились. Следователи пришли к заключению, что эти адреса не были зашифрованы в результате сбоя анонимайзера, и являются настоящими IP-адресами злоумышленника.
В результате, на основании ст. 29 Конвенции о киберпреступности, Федеральное управление уголовной полиции Германии затребовало осуществить так называемое «предварительное сохранение» всех учетных данных ряда украинских интернет-провайдеров.
На основании данного запроса, Святошинский суд Киева постановил предоставить доступ к данным указанных интернет-провайдеров, поскольку они имеют существенное значение в деле установления, кто являлся пользователем подозреваемых IP-адресов в искомый период времени.
В случае, если до 5 сентября 2020 года провайдеры не предоставят интересующие следствие данные добровольно, суд дал полицейским право на временное изъятие серверов и документов компаний.