Potrivit unui comunicat al DIICOT, procurorii i-au reținut pentru 24 de ore pe Denis Dari, Sorin Mihăilă, Ilie Iulian Motofeanu, Gabriel Onea, George Ovidiu Raportoru, Solozabal Cuartero Rodion, Tulli Renato Marius și Simona Udilă, pentru săvârșirea infracțiunilor de constituire a unui grup infracțional organizat, acces ilegal la sisteme informatice, fraude informatice, perturbarea funcționării sistemelor informatice, alterarea integrității datelor informatice și operațiuni ilegale cu dispozitive și programe informatice și distrugere.
Procurorii susțin că, în perioada decembrie 2014- octombrie 2015, pe teritoriul României (cu predilecție pe raza municipiului București) și Republicii Moldova, a activat o grupare transfrontalieră formată din mai mulți cetățeni români și moldoveni, care avea ca scop obținerea de foloase materiale injuste prin săvârșirea de infracțiuni informatice, atât pe teritoriul țării, cât și pe teritoriul mai multor state europene. S-a reținut că faptele au constat în încercarea compromiterii și fraudării sau, după caz, compromiterea tehnică și fraudarea cu ajutorul unui virus informatic a mai multor terminale tip ATM aparținând unor instituții bancare de pe teritoriul României (București și alte zone din țară), dar și din străinătate (Ungaria, Cehia, Spania, Rusia), prejudiciul fiind de aproximativ 200.000 de euro.
Cum acţiona gruparea infracţională
Gruparea a activat aproximativ un an, între membrii acesteia existând raporturi de subordonare specifice unei structuri organizatorice de tip ierarhic. Conform DIICOT, grupul infracțional a fost inițiat și constituit pe parcursul anului 2014 de către cetățeanul moldovean Solozabal Cuartero Rodion și acoliții săi Baduh Iurie și Denis Dari, precum și de către cetățeanul român Sorin Mihăilă, zis "Haliu", acesta din urmă fiind locotenentul și persoana de încredere a liderului moldovean, al cărui principal rol a fost acela de a asigura și ține legătura cu membrii grupării din România și de a racola cetățeni români ("săgeți"), care aveau rolul de a identifica și participa la compromiterea și fraudarea terminalelor ATM.
Astfel, la această grupare, au aderat de-a lungul timpului cetățenii români George Ovidiu Raportoru, Tulli Renato Marius, Mihai Claudiu Mihăilă, Ilie Iulian Motofeanu, Gabriel Olbea, fiind apoi sprijinită de suspecții Laurențiu Cismaru, Adrian Hogea, Beatrice Mihăilă și Simona Udilă.Anchetatorii susțin că liderul grupării, Solozabal Cuartero Rodion, avea relații și influență în lumea interlopă ruso-moldoveană, împrejurare care a facilitat achiziționarea de către grupare a virusului informatic necesar fraudării bancomatelor.
Totodată, el coordona din spate activitatea grupării, în special activitatea echipei sale de cetățeni moldoveni, deținând cunoștințele tehnice necesare bunei funcționări a aplicației informatice de tip malware, cu ajutorul căreia erau compromise sistemelor informatice instalate în interiorul bancomatelor.
Astfel, din brigada direct subordonată lui Solozabal Cuartero Rodion, Denis Dari era cel care deținea virusul informatic de tip "malware", destinat compromiterii sistemelor informatice ale bancomatelor. El răspundea de manipularea nemijlocită, accesarea efectivă și instalarea în memoria sistemului informatic al ATM-ului a respectivului virus. Un alt membru al echipei moldovene a fost Naduh Iurie, care avea rolul de a-l însoți pe Denis Dari atunci când erau fraudate bancomatele. Cel de-al doilea palier al grupării era reprezentat de către membrii executanți, care participau la identificarea și fraudarea terminalelor ATM, precum și la ridicarea banilor.
Metoda de fraudare denumită "Jackpotting"
Procurorii DIICOT mai susțin că membrii acestei grupări foloseau metoda de fraudare denumită "Jackpotting". Astfel, în prima etapă, erau identificate bancomate ce urmau să fie ținta atacurilor, fiind preferate anumite tipuri de ATM-uri (terminale de tip NCR), terminale care nu erau încastrate în zidurile băncii și care puteau fi astfel manipulate cu ușurință. S-au avut în vedere bancomatele al căror modul electronic existent în partea superioară (și în care se afla computerul aparatului) putea fi deschis și rabatat cu ajutorul unei chei universale și al cărui sistem informatic era prevăzut cu dispozitive CD-ROM, componentă necesară instalării și introducerii datelor informatice frauduloase.
În continuare, verificările și activitățile prealabile vizau existența sau nu a sistemelor de alarmă prevăzute la nivelul bancomatelor (în caz afirmativ procedându-se la anihilarea acestora prin lipirea cu bandă adezivă tip scotch a micro-releului/senzorului de alarmă), fotografierea componentelor electronice ale modulului informatic și verificarea unității CD-ROM, componenta sistemului informatic al bancomatului, montat în partea superioară a acestuia.
Gruparea folosea un virus de tip "ulssm.exe", care era setat să funcționeze în parametrii corespunzători doar pe timpul weekend-urilor. Ca urmare a verificărilor online efectuate cu privire la programele informatice de tip "malware", utilizate la infectarea ATM-urilor din mai multe țări prin aceeași metodă, a rezultat că fișierul executabil cu denumirea "ulssm.exe" era copiat de pe un mediu optic (suport tip CD), iar, după extragerea numerarului, virusul era șters de către utilizatorul său în mod automat, astfel încât după comiterea faptei erau identificate doar urme ale respectivului soft. Cu ajutorul acestui virus, sistemul informatic și de operare al ATM-ului era determinat să elibereze sume de bani, fără ca membrii grupării să utilizeze carduri bancare. Extragerea banilor din bancomate se făcea în mod eșalonat, cu sume fixe de 4.000 de lei.