Cristi Ciuperca
Tribunalul Vrancea a admis solicitarea procurorilor DIICOT Vrancea de a confirma Ordonanța de renunțare la urmărire penală într-un dosar penal deschis în 2020 în urma a două plângeri penale formulate de SC Sorste SA din Focșani, societate care a fost victima a două atacuri informatice.
”Admite sesizarea formulata de Parchetul de pe lingă ICCJ – Direcţiei de Investigare a Infracțiunilor de Criminalitate Organizată şi Terorism – Biroul Teritorial Vrancea, pentru confirmarea renunţării la urmărirea penala, în dosarul nr. 55/D/P/2020, si în consecinţa: In baza art. 318 alin. 15 Cod procedura penala confirmă Ordonanţa de renunţare la urmărirea penala nr. 55/D/P/2020 din 12.05.2022 emisa de Parchetul de pe lingă ICCJ – Direcţiei de Investigare a Infracţiunilor de Criminalitate Organizată şi Terorism – Biroul Teritorial Vrancea, parte vatamata SC SORSTE SA, avand ca obiect infracțiunile de acces ilegal la un sistem informatic, alterarea integrităţii datelor informatice, perturbarea funcţionării sistemelor informatice şi operaţiuni ilegale cu dispozitive sau programe informatice prev. de art.360 al.1,2 şi 3 C.pen., art.362 C.pen., art.363 C.pen. şi art.365 al.1 C.pen. Cheltuielile judiciare avansate de stat rămân în sarcina acestuia. Definitiva.”, se arată în minuta deciziei Tribunalului Vrancea.
SC Sorste SA este deținută în totalitate de fostul senator PD și ministru al Tineretului și Sportului în Guvernul Boc, Sorina Bucuraș (Plăcintă). Bucuraș (foto, sursa www.antena3.ro) a revenit recent în politică după ce a devenit membru în filiala Vrancea a partidului lui Ludovic Orban, Forța Dreptei.
Faptele reclamate de Sorste la DIICOT Vrancea sunt interesante, din perspectiva modului de operare.
Astfel, din ordonanța de renunțare la urmărire penală rezultă că pe 15 decembrie 2020 reprezentanții societății comerciale au sesizat DIICOT că în perioada 11-12.12.2020 persoane necunoscute au accesat fără drept sistemul informatic al societăţii şi au criptat fişierele din programele de producţie, contabilitate şi resurse umane, iar ulterior atacatorii au solicitat suma de 12.000 euro, în monedă electronică, pentru decriptarea fişierelor. Societatea petentă a mai fost ţinta unui atac similar în luna mai 2020, atunci informaticianul reuşind restaurarea programului informatic în baza unui backup ţinut pe un server din reţea. Cu acea ocazie, conform datelor furnizate, se pare că reţeaua societăţii a fost infectată cu virusul Cryptolocker, fiind accesată de la adrese de IP din Estonia şi Olanda.
CUM S-A PRODUS ATACUL. RĂSCUMPĂRARE CERUTĂ ÎN BITCOIN
”La data de 01.05.2020 reprezentanţii SC SORSTE SA au sesizat prin plângere faptul că la aceeaşi dată programul informatic ce asigură funcţionarea societăţii sub aspectul producţiei nu mai conţinea nicio informaţie. În intervalul orar 11,00-13,00 informaticianul societăţii comerciale a reuşit restaurarea unei părţi din datele ce asigură funcţionalitatea programului de producţie. Din constatările acestuia a rezultat că fişierele au fost criptate şi depozitate într-o altă formă astfel încât să nu poată fi utilizate decât s-ar fi achitat o taxă de recuperare a informaţiilor. Conform aceloraşi date, se pare că reţeaua societăţii a fost infectată cu virusul Cryptolocker, fiind accesată de la adrese de IP din Estonia şi Olanda”, se arată în încheierea Tribunalului Vrancea din 15 iunie prin care s-a confirmat ordonanța DIICOT Vrancea de renunțare la urmărirea penală în acest dosar.
Ce au descoperit procurorii DIICOT Vrancea în urma anchetei: ”În baza delegărilor emise de procurorul din cadrul DIICOT-BT #######, în cauză au fost efectuate verificări tehnice de către specialiştii din cadrul SCCO #######, stabilindu-se faptul că atacatorii au accesat ilegal serverele companiei ###### SA şi au reuşit criptarea fişierelor aflate pe servere, pc-uri şi HDD-uri. Fişierele astfel rezultate au extensia „.google”. Soluţiile software de decriptare ransomware puse la dispoziţie de Kaspersky şi Bitdefender detectează fişierele cu extensia .google ca fiind imposibil de decriptat la momentul actual. Verificările on-line au condus la stabilirea faptului că adresele de email folosite de atacatori sunt găzduite pe un server de #### ########, iar compania care deţine acest server este OvO Systems Ltd. cu sediul în insula Seychelles din ###### Indian. Totodată, atacatorii au lăsat pe sistemele afectate un fişier denumit „info.txt” în care erau instrucţiunile ce trebuie urmate pentru a recupera documentele afectate. În acest fişier erau indicate adresele de email unde trebuia solicitată decriptarea împreună cu un ID ce reprezenta identificatorul sistemului afectat. Suma cerută cu titlu de răscumpărare era de 0,65 BTC (aprox. 11.000 euro) şi trebuia depusă într-un portofel electronic ce urma să fie indicat ulterior de către atacatori. După ce reprezentantul persoanei vătămate SC ###### SA a trimis un mail prin care anunţa că poate oferi doar 0,0065 BTC, atacatorii nu au mai comunicat. În cauză nu au mai putut fi accesate alte date tehnice deoarece sistemele informatice ale persoanei vătămate aveau proceduri de back-up active, astfel încât sistemele au fost reinstalate şi repuse în funcţiune”, se arată în documentele deținute de newsonline.ro
Ce a declarat la DIICOT Vrancea șeful departamentului IT de la Sorste: ”Cu ocazia audierii din data de 12.01.2021 persoana responsabilă cu administrarea sistemelor informatice ale persoanei vătămate – ###### ######, a arătat că a reuşit recuperarea majorităţii fişierelor, nefiind constatate pierderi importante de fişiere. La data de 22.05.2020 acelaşi administrator de sistem a indicat că sistemul informatic a fost paralizat aproximativ 5 ore, timp în care şi producţia fabricii a fost oprită. Analiza internă a stabilit că atacatorii au procedat la o scanare a porturilor de „Remote desktop connection”, s-a identificat cel utilizat de serverul DHCP şi s-a folosit metoda „brute force attack” pentru aflarea parolei contului de administrator. După aflarea parolei atacatorii s-a conectat remote, au dezactivat antivirusul şi au criptat fişierele. Ca măsură de precauţie ulterioară, au fost schimbate parolele şi s-a introdus o politică de limitare a numărului de încercări de deparolare”.
DE CE A RENUNȚAT DIICOT LA IDENTIFICAREA ATACATORILOR
”În aceste condiţii, faţă modul de săvârşire a infracţiunilor care nu prezintă o complexitate deosebită, timpul scurs de la comiterea infracţiunilor, precum şi inexistenţa unui prejudiciu, apreciem că sunt întrunite condiţiile prevăzute de art.318 C.proc.pen. pentru a se dispune renunţarea la urmărirea penală. În consecinţă, în baza art. 318 alin. l C.proc.pen. s-a dispus renunţarea la urmărire penală în cauza având ca obiect infracțiunile de de acces ilegal la un sistem informatic, alterarea integrităţii datelor informatice, perturbarea funcţionării sistemelor informatice şi operaţiuni ilegale cu dispozitive sau programe informatice prev. de art.360 al.1,2 şi 3 C.pen., art.362 C.pen., art.363 C.pen. şi art.365 al.1 C.pen”, au stabilit procurorii DIICOT – Biroul Teritorial Vrancea în ordonanța de renunțare la urmărire penală.
Decizia procurorilor DIICOT Vrancea a fost confirmată de judecătorul de la Tribunalul Vrancea prin sentința din 15 iunie a.c.
