Europol ha anunciado a través de un comunicado el desmantelamiento del grupo de ransomware Ragnar Locker gracias a una operación internacional que también ha resultado en la detención de un "objetivo clave" de la banda.
Esta operación, coordinada por Europol y Eurojust y dirigida por la Gendarmería Nacional Francesa, ha contado con la participación de once países, incluido España a través de la implicación de la Guardia Civil.
Según señala Europol, la acción se llevó a cabo la semana pasada, entre el 16 y el 20 de octubre, en el marco de una investigación que en octubre de 2021 derivó en "una primera ronda de detenciones en Ucrania". Este nuevo esfuerzo conjunto ha supuesto la incautación de la infraestructura del ransomware Ragnar Locker en los Países Bajos, Alemania y Suecia, la eliminación de la página web de filtración de datos asociado en Tor en Suecia, y la detención de uno de los presuntos desarrolladores del grupo en París, así como el registro de su domicilio en la República Checa.
Además de este registro, se han practicado otras redadas en España y Letonia, donde también se ha interrogado a cinco sospechosos de colaborar con esta banda de ciberdelincuentes. "Al final de la acción, el principal autor, sospechoso de ser uno de los desarrolladores del grupo Ragnar, compareció ante los jueces de instrucción del Tribunal Judicial de París", informa Europol.
Ragnar Locker: una amenaza de alto nivel
La agencia policial de la UE describe a Ragnar Locker como una de las organizaciones de ransomware más peligrosas de los últimos años. Activa desde diciembre de 2019, adquirió notoriedad a base de atacar a infraestructuras críticas de todo el mundo, por lo que era considerada como una amenaza de alto nivel.
"Esta variedad de ransomware se dirigía a dispositivos que ejecutaban sistemas operativos Microsoft Windows y normalmente explotaba servicios expuestos como el Protocolo de escritorio remoto para obtener acceso al sistema", detalla.
Europol también explica que Ragnar Locker utilizaba una técnica de doble extorsión, exigiendo pagos desorbitados por las herramientas de descifrado, así como para no divulgar los datos confidenciales robados. Además, apunta que el grupo advertía explícitamente a sus víctimas que no contactaran con las autoridades, amenazando con publicar todos los datos robados en el "Muro de la vergüenza", su portal de filtración de la dark web.
Entre las últimas víctimas de Ragnar Locker se encuentran un hospital de Israel y la aerolínea nacional de Portugal, indica Europol.
La investigación sobre esta organización se inició en mayo de 2021 a petición de las autoridades policiales francesas y los otros nueve países que han participado en ella, además de Francia y España, son los Países Bajos, Suecia, Letonia, Ucrania, República Checa, Alemania, Italia, Estados Unidos y Japón.
En palabras del director del Centro Europeo de Europpol, Edvardas Šileris: "Esta investigación muestra que, una vez más, la cooperación internacional es la clave para acabar con los grupos de ransomware. La prevención y la seguridad están mejorando, pero los operadores de ransomware continúan innovando y encontrando nuevas víctimas. Europol desempeñará su papel de apoyo a los Estados miembros de la UE en su lucha contra estos grupos, y cada caso nos está ayudando a mejorar nuestros modos de investigación y nuestra comprensión de estos grupos. Espero que esta ronda de arrestos envíe un mensaje contundente a los operadores de ransomware que creen que pueden continuar sus ataques sin consecuencias".