Agnieszka Gryszczyńska: Postępowanie przygotowawcze prowadzone w Prokuraturze Okręgowej w Warszawie zostało wszczęte 2 czerwca 2017 roku, tak więc doprowadzenie do zatrzymania Tomasza T. zajęło nam osiem miesięcy. W tym czasie zgromadziliśmy materiał dowodowy obejmujący 90 tomów akt postępowania przygotowawczego. Wydałam kilkaset postanowień celem uzyskania danych retencyjnych, danych dotyczących rejestracji domen i korzystania z hostingów. Wystąpiłam z wnioskami o udzielenie międzynarodowych pomocy prawnych do Bułgarii, Belgii, Włoch i Islandii. Przed zatrzymaniem Tomasza T. udało nam się również uzyskać i poddać analizie materiały z realizacji międzynarodowych pomocy prawnych. Dzięki pracy funkcjonariuszy policji z Biura do Walki z Cyberprzestępczością KGP oraz Komendy Rejonowej Policji Warszawa II przesłuchanych zostało kilkaset ustalonych przez nas osób pokrzywdzonych, wykonaliśmy kilkanaście eksperymentów procesowych, w ramach których udało nam się odszyfrować dane zaszyfrowane przy pomocy ransomware’u Vortex. Od wszczęcia postępowania średnio raz w miesiącu obserwowaliśmy kolejne kampanie Thomasa i na bieżąco dołączaliśmy kolejne wątki dotyczące ataków przypisywalnych Thomasowi poprzez wykorzystanie tej samej infrastruktury, adresów mailowych czy adresów IP logowań.
Ile obecnie jest takich wątków?
Aktualnie postępowanie obejmuje ponad 25 wątków. Postępowanie objęło czyny od 2013 roku. Najstarsze dołączone postępowania – to podjęte śledztwa i dochodzenia dotyczące ataków DDoS i wykorzystania VBKlipa, czyli programu zmieniającego numer rachunku bankowego w schowku systemowym. W tym wątku ustaliliśmy numer rachunku bankowego, wykorzystywanego przez Thomasa, uzyskaliśmy informacje o prepaidowych kartach płatniczych, które kupował. Umieszczane w kodzie złośliwego programu numery rachunków udało się nam ustalić dzięki dużej pomocy zespołu reagowania na incydenty sieciowe CERT Polska z NASK. Na tej podstawie, po uzyskaniu informacji z odpowiednich banków, ustaliliśmy pokrzywdzonych.