La policia europea Europol ha comunicado la detención de los cabecillas de un peligroso grupo de ransomware que llevaba operando cuatro años.
Hace unos días, el 28 de febrero, la Policía Regional Alemana (Landeskriminalamt Nordrhein-Westfalen) y la Policía Nacional de Ucrania (Націона́льна полі́ція Украї́ни), con el apoyo de Europol, la Policía holandesa (Politie) y la Oficina Federal de Investigaciones de EE.UU., atacaron a miembros clave sospechosos de una pandilla criminal responsable de realizar ciberataques a gran escala con el ransomware DoppelPaymer.
Las autoridades alemanas tendrían conocimiento de 37 víctimas de la pandilla, todas ellas empresas. Uno de los ataques más graves se perpetró contra el Hospital Universitario de Düsseldorf, en Alemania. Se estima que En EE.UU., entre mayo de 2019 y marzo de 2021, las víctimas pagaron al menos 40 millones de euros de rescates a los cibermalos.
Durante las distintas acciones realizadas por las diferentes fuerzas del orden los oficiales alemanes allanaron la casa de un ciudadano germano, que se cree tenía un papel muy relevante en la organización.
Los oficiales ucranianos registraron dos lugares, uno en Kiev y otro en Khakiv, incautando equipos electrónicos.
No obstante, el análisis forense de los dispositivos aun debe determinar el papel exacto de los sospechosos y sus vínculos con otros cómplices. Cotejar la información operativa con las bases de datos de Europol proporcionará más detalles.
Así operaba su ransomware
El ransomware era distribuido a través de varios canales, incluyendo emails de phishing y spam con documentos adjuntos que contenían código malicioso, comoJavaScript o VBScript.
El grupo criminal detrás de este ransomware se basó en un esquema de doble extorsión, utilizando un sitio web de filtración lanzado por los actores de amenazas a principios de 2020.
El ransomware DoppelPaymer fue creado por el colectivo de ciberdelincuentes en 2019, cuando empezaron a usarlo para atacar a organizaciones e infraestructuras de industrias críticas. Está basado en otro ransomware llamado BitPaymer y en parte de la familia de malware Dridex.
Los ataques DoppelPaymer fueron habilitados por el prolífico malware Emotet.