"Najbardziej uciążliwy polski cyberprzestępca w rękach policji" – oznajmiła Komenda Główna. W minionym tygodniu w Opolu w ręce organów ścigania wpadł Tomasz T., vel Thomas albo Armaged0n.

Według policji podejrzany przeprowadzał m.in. ataki polegające na szyfrowaniu danych z pomocą ransomware i przeciążeniu łącz różnych podmiotów gospodarczych. Za odszyfrowanie danych żądał okupu. Długo wymykał się organom ścigania. Działał od 2013 r. do marca 2018 r. Policja ustaliła, że ostatnio ukrywa się w Belgii. We współpracy z Europolem został namierzony i zatrzymany niedługo po przyjeździe do Polski.

Tomasz T. usłyszał 181 zarzutów, m.in. oszustw komputerowych, bezprawnej ingerencji w systemy komputerowe, prania brudnych pieniędzy i podszywania się pod inne osoby. Poszkodowanych jest kilka tysięcy polskich użytkowników. Podejrzany z popełniania przestępstw uczynił stałe źródło dochodów, co może wpłynąć na zaostrzenie kary.

Tomasz T. przyznał się do zarzucanych mu czynów. Decyzją sądu został tymczasowo aresztowany.

Jak podaje Komenda Główna, najważniejszym źródłem utrzymania Tomasza T. było ransomware. Wirusy rozsyłał pocztą elektroniczną. E-maile udawały wiadomości od różnych firm i instytucji. Aresztowany podszywał się m.in. pod dużego operatora telekomunikacyjnego, znaną firmę odzieżową, banki, wypożyczalnie samochodów, firmy kurierskie, operatorów pocztowych, prawników, a nawet GIODO.

Akcje rozsyłania wirusów Tomasz T. przeprowadzał średnio co 3 – 4 tygodnie. Zyski z okupów lokował w bitcoinach. Za odszyfrowanie danych żądał od ofiar od 200 do 400 dol.

Inną "specjalnością" Tomasza T. było infekowanie komputerów wirusem, który przeklejał numer rachunku uprzednio skopiowanego do schowka bez wiedzy użytkownika.

W rezultacie pieniądze przesyłane z użyciem bankowości internetowej trafiały na rachunki uprzednio założone i kontrolowane przez podejrzanego. Tomasz T. wykorzystywał w tym celu konta rejestrowane na inne osoby.

Jednocześnie z zatrzymaniem w Polsce doszło do przeszukań w Belgii. Znaleziono zagraniczny serwer, na którym Tomasz T. przechowywał klucze umożliwiające odszyfrowanie zawirusowanych komputerów.

Według policji dzięki temu jest możliwość odszyfrowania danych z komputerów zainfekowanych ransomware podczas dwóch kampanii rozsyłania e-maili ze szkodnikami – gdy podejrzany podszywał się pod "GIODO" i "Zastępczy Pojazd".