Las autoridades judiciales y policiales de siete países, junto a Europol y Eurojust, han colaborado para desmantelar y detener en Ucrania a figuras clave detrás de importantes operaciones de ransomware que han causado estragos en todo el mundo.
El pasado 21 de noviembre se registraron 30 propiedades en las regiones Kiev, Cherkasy, Rivne y Vinnytsia, llevándose a cabo la detención del cabecilla de la banda, de 32 años. Otras cuatro personas que eran sus cómplices más activos también ha sido arrestadas.
Se cree que las personas investigadas pertenecen a una red responsable de distintos ataques de ransomware de alto perfil contra organizaciones en más de 70 países. Estas se sirvieron de las variantes LockerGoga, MegaCortex, HIVE y Dharma, entre otras, para llevar a cabo sus incidentes.
Los sospechosos tenían distintos roles en la organización criminal. Mientras unos comprometían las redes informáticas otros, presuntamente, se encargaban del blanqueo de pagos en criptomonedas de los rescates que realizaban las víctimas.
Para irrumpir en las redes estos ciberdelincuentes usaban técnicas que incluían ataques de fuerza bruta, inyecciones SQL y envío de correos electrónicos de phishing con archivos adjuntos maliciosos para robar nombres de usuario y contraseñas.
Una vez dentro de las redes, los atacantes no eran detectados y lograban obtener acceso adicional usando herramientas como el malware TrickBot, Cobalt Strike y PowerShell Empire, para comprometer tantos sistemas como fuera posible antes de desencadenar los ataques de ransomware.
Se estima que esta pandilla llegó a cifrar más de 250 servidores de grandes corporaciones, ocasionando la pérdida de cientos de millones de euros.
Una operación iniciada hace tiempo
Una veintena de investigadores de Noruega, Francia, Alemania y EE.UU. fueron enviados a Kiev para asistir a la Policía Nacional de Ucrania en sus medidas de investigación.
Al mismo tiempo, en la sede de Europol en los Países Bajos se activó un puesto de mando virtual para analizar inmediatamente los datos incautados durante los registros en Ucrania.
Esta acción es la continuación de una primera ronda de detenciones llevada a cabo en 2021 en Ucrania en el marco de la misma investigación. Desde entonces se han analizado los dispositivos incautados para tirar de hilo. Dicho trabajo de seguimiento ha facilitado la identificación de los sospechosos.
El comunicado de prensa emitido por Europol no ha mencionado cuál es el nombre o seudónimo concreto de esta pandilla de ransomware.
Además de la detención del cabecilla del grupo, otra noticia positiva es que, gracias a esa operación -y en colaboración con No More Ransom y Bitdefender- se han creado herramientas de descifrado para las variantes de ransomware LockerGoga y MegaCortex.