Европол сообщил об аресте 12 человек, подозреваемых в осуществлении вымогательских атак на более 1,8 тыс. организаций в 71 стране мира. В атаках был задействован ряд семейств программ-вымогателей, в том числе LockerGoga, MegaCortex и Dharma, а также вредонос Trickbot и пост-эксплутационные инструменты, такие как Cobalt Strike. Впервые группировка LockerGoga заявила о себе в январе 2019 года после атак на французскую компанию Altran Technologies и норвежского производителя алюминия Norsk Hydro . По оценкам, ущерб последней от атаки составил $35-41 млн. Аресты, ставшие результатом масштабной международной полицейской операции, были произведены в Швейцарии и Украине 26 октября. В ходе обысков полиция изъяла пять автомобилей класса люкс, электронные устройства и $52 тыс. налички. Согласно пресс-релизу Европола, у каждого подозреваемого была своя роль в «профессиональных, высокоорганизованных преступных организациях». Некоторые из них использовали многочисленные техники для компрометации IT-сетей, включая брутфорс, внедрение SQL-кода, краденные учетные данные и фишинговые письма с вредоносными вложениями. Проникнув в сеть, злоумышленники устанавливали вредоносное ПО, например, Trickbot или фреймворки Cobalt Strike или PowerShell Empire для дальнейшего продвижения. Преступники таились в сетях по несколько месяцев, изучая окружение на предмет уязвимостей, а затем разворачивали вымогательское ПО. Как отметили в полицейском ведомстве, некоторые из задержанных подозреваются в отмывании полученных в качестве выкупа биткойнов через миксеры криптовалют.