Europol ha informado de una importante operación judicial y policial que ha involucrado a ocho países y que ha tenido como resultado la detención de 12 personas presuntamente responsables de realizar ataques de ransomware contra infraestructuras críticas que han podido afectar a más de 1.800 organizaciones en 71 países. Los detenidos son conocidos por atacar principalmente a grandes corporaciones con el fin de paralizar su actividad.
La actuación se desarrolló en la madrugada del 26 de octubre en Ucrania y Suiza. La mayor parte de los atacantes involucrados son considerados objetivos de alto valor para las autoridades porque están siendo investigados como copartícipes en múltiples ataques en diferentes jurisdicciones.
Como resultado de esta actuación, se incautaron más de 52.000 dólares en efectivo, así como cinco vehículos de lujo. Los forenses continúan investigando varios dispositivos electrónicos para buscar pruebas y hallar nuevas pistas de identificación, como explica Europol en un comunicado de prensa.
Ataques letales organizados con mucha antelación
Estas 12 personas tenían diferentes roles en organizaciones criminales profesionales altamente organizadas. Algunos de ellos se dedicaban específicamente a buscar la forma de acceder a los sistemas de sus objetivos, para lo que empleaban múltiples mecanismos que comprometieran las redes IT, desde ataques de fuerza bruta, inyecciones de SQL, robo de credenciales o ataques de phishing con archivos maliciosos.
Una vez en la red, algunos de estos piratas informáticos se enfocaban en moverse lateralmente, implementando malware como Trickbot, o marcos de post-explotación como Cobalt Strike o PowerShell Empire, para permanecer en la red sin ser detectados y obtener cada vez mayores accesos.
Los atacantes podían pasar desapercibidos en los sistemas comprometidos durante meses, buscando más debilidades en las redes IT antes de pasar a monetizar el ataque mediante una acción de ransomware. Se sabe que principalmente infectaban con los ransomware LockerGoga, MegaCortex o Dharma, entre otros.
Los efectos de sus ataques de ransomware han sido demoledores, ya que permanecían dentro de las redes de TI mucho tiempo, sin ser detectados, con el propósito de preparar el ataque más dañino. Luego exigían a sus víctimas el pago del rescate en Bitcoin a cambio de claves de descifrado.
Se sospecha que varios de estos implicados, que están siendo interrogados, están a cargo de lavar los pagos de los rescates, que canalizaban por medio de una mezcla de servicios antes de hacerlos efectivo.
Más de 50 investigadores desplazados a Ucrania
La cooperación internacional coordinada por Europol y Eurojust, la agencia de la Unión Europea encargada del refuerzo de la cooperación judicial entre los Estados miembros, ha resultado fundamental para identificar a estos delincuentes, ya que las víctimas estaban ubicadas en diferentes ubicaciones geográficas del mundo.
Iniciado por las autoridades francesas, en septiembre de 2019 se creó un equipo conjunto de investigación específico para esta operación entre Noruega, Francia, el Reino Unido y Ucrania, con el apoyo financiero de Eurojust y la asistencia de ambas agencias.
Desde entonces, los miembros de este equipo han trabajado en estrecha colaboración, en paralelo con las investigaciones independientes de las autoridades holandesas y estadounidenses, para descubrir la magnitud real y la complejidad de las actividades delictivas de estos ciberactores, con el propósito de establecer una estrategia conjunta.
Eurojust estableció un centro de coordinación para facilitar la cooperación judicial transfronteriza durante la operación. El Centro Europeo de Ciberdelincuencia (EC3) de Europol organizó reuniones operativas, proporcionó soporte forense digital, criptomonedas y malware y facilitó el intercambio de información en el marco del Grupo de Acción Conjunta contra la Ciberdelincuencia (J-CAT) alojado en la sede de Europol en La Haya.
Más de 50 investigadores extranjeros, incluidos seis especialistas de Europol, permanecieron Ucrania durante el día de la operación para ayudar a la policía del país a llevar a cabo medidas de investigación conjuntas.
En esta importante operación contra la ciberdelincuencia han participado autoridades de Noruega, Francia, Países Bajos, Ucrania, Reino Unido, Alemania, Suiza, Estados Unidos, así como Europol y Eurojust.