La policía de Ucrania interrumpe la operación de ransomware Cl0p


La creciente lista de acciones similares en los últimos meses puede finalmente estar asustando a algunos operadores para que renuncien, pero la amenaza está lejos de terminar, dicen los expertos en seguridad.

Los funcionarios encargados de hacer cumplir la ley en Ucrania arrestaron a seis miembros de Cl0p, una banda de ransomware que recientemente se asoció con ataques a la Facultad de Medicina de la Universidad de Stanford y a víctimas de una violación anterior en la empresa de firewall empresarial Accellion.

En un comunicado de prensa el miércoles, la Policía Cibernética de Ucrania describió los arrestos como resultado de una operación internacional que involucra a las autoridades policiales de Corea, Estados Unidos e Interpol. Como parte de la operación, la policía ucraniana realizó registros en 21 viviendas en la ciudad funds de Kiev y en la región en typical.

Un movie del derribo muestra a los funcionarios confiscando varios automóviles de lujo, computadoras y el equivalente a aproximadamente $ 185,000 en efectivo durante las redadas. En al menos un caso, se ve a policías armados usando lo que parece ser una herramienta de fuel para cortar una puerta cerrada. En un segmento anterior del video clip, se ve a la policía preparándose para usar el mismo cortador de gasoline cuando alguien abre la puerta voluntariamente. El online video muestra lo que parecen ser oficiales de policía coreanos observando las redadas.

(incrustar) https://www.youtube.com/enjoy?v=PqGaZgepNTE (/ incrustar)

No está claro si las seis personas que fueron arrestadas eran los cabecillas de la operación o agentes de menor nivel. La policía ucraniana describió a la pandilla Cl0p como responsable de más de $ 500 millones en daños a organizaciones en diferentes partes del mundo, incluidos Corea y Estados Unidos. Las seis personas arrestadas han sido acusadas según la ley de Ucrania de delitos relacionados con el acceso no autorizado a computadoras, sistemas automatizados y redes de telecomunicaciones. Además, han sido acusados ​​de blanqueo de capitales obtenidos por medios delictivos. Los individuos enfrentan un máximo de hasta ocho años de prisión si son declarados culpables de todos los cargos.

El Departamento de Justicia de EE. UU. No respondió de inmediato a una solicitud de Dark Looking at en busca de confirmación de la participación de EE. UU. Reportada en el derribo.

Los arrestos de Cl0p se suman a una serie de éxitos recientes de la aplicación de la ley internacional contra los grupos de ciberdelitos, comenzando con el desmantelamiento de la notoria operación de botnet Emotet a principios de enero. Esa operación resultó en una disminución notable en las actividades de malware, exploits y botnet en el primer trimestre de 2021, aunque los expertos en seguridad han dicho que esperan que la pausa sea solo temporal. La misma semana del derribo de Emotet, las autoridades estadounidenses Anunciado se habían apoderado de un sitio world wide web oscuro, arrestaron a un ciudadano canadiense y recuperaron $ 500,000 en dinero robado asociado con las operaciones de ransomware Netwalker.

Otras interdicciones notables contra las bandas cibernéticas en los últimos meses incluyen la eliminación del grupo de ransomware Egregor por parte de las autoridades ucranianas y francesas en febrero. En junio, pocos días después de que Colonial Pipeline confirmara que había pagado al grupo de ransomware DarkSide más de 4 millones de dólares tras un ataque paralizante, las autoridades estadounidenses Anunciado habían recuperado unos 2,3 millones de dólares del pago del rescate.

Pocos esperan que la serie de arrestos y derribos ralenticen mucho los ataques de ransomware en el corto plazo. Pero parece que al menos algunos grupos criminales están reconsiderando sus estrategias.

(Imagen: Cyberpolice of Ukraine)

(Imagen: Cyberpolice of Ukraine)

Kim Bromley, analista senior de inteligencia sobre ciberamenazas en Digital Shadows, señala una decisión reciente del grupo de ransomware-as-a-provider (RaaS) Avaddon como un ejemplo. A principios de este mes, el grupo dijo que era Apagando sus operaciones por preocupaciones de acciones policiales y la entrega de claves de descifrado para 2.000 de sus víctimas a un sitio de noticias de tecnología.

«Ziggy», otro operador de ransomware, tomó una decisión comparable de renunciar, y por las mismas razones, a principios de este año, y DarkSide, el grupo detrás del ataque Colonial Pipeline, lo canceló después de que se confiscaron sus servidores y su reserva de bitcoins.

Hacer que los delincuentes piensen dos veces
La consternación por el hack de Colonial Pipeline y la posterior informes acerca de que EE. UU. equipara los ataques de ransomware con los ataques terroristas, también llevó a algunos foros clandestinos prominentes a prohibir ransomware y publicidad, ventas y otras actividades de RaaS en sus sitios recientemente.

«Si bien estos arrestos pueden hacer que algunos operadores de ransomware se lo piensen dos veces, es poco probable que la amenaza de una acción policial sea suficiente para detenerlos por completo», dice Bromley. «Para muchos ciberdelincuentes, la posibilidad de arresto es un riesgo aceptado, y cambiarán de táctica con frecuencia para evitar ser detectados».

También dice que es poco probable que los ataques de ransomware disminuyan inmediatamente debido a las recientes acciones policiales. Por lo tanto, las fuerzas del orden y los gobiernos deben aprovechar el impulso que han logrado publicitando todas las acciones tomadas contra el ransomware.

«Cada mención recordará a los operadores de ransomware que hay presión», dice.

La operación de ransomware Cl0p, aunque relativamente conocida, se considera más pequeña que otros grupos, como los que están detrás de REvil, también conocido como Sodinokibi, Maze, Conti y Netwalker. Por lo tanto, los analistas de la industria piensan que es poco possible que la salida del grupo de la escena, si eso es a lo que conducen los arrestos de esta semana, cambie mucho los volúmenes de ataques.

«Aunque estas eliminaciones, que suelen tener como objetivo los grupos de ransomware más activos, pueden tener un efecto a corto plazo en la interrupción de las operaciones de ransomware, históricamente los vacíos que dejaron estos grupos han sido llenados rápidamente por otros», dice Andras Toth-Czifra, analista senior de Flashpoint, que ha estado rastreando las actividades de Cl0p.

Un problema es que, si bien países como Ucrania han estado dispuestos a cooperar con los EE. UU. En las operaciones de eliminación, las autoridades de Rusia, donde se está llevando a cabo una gran cantidad de actividad de ransomware, han estado menos dispuestas a hacerlo, dice. El hecho de que la noticia de los arrestos se conociera el día de la cumbre de Ginebra es significativo, dice Toth-Czifra.

«Sabemos que se plantearon preocupaciones sobre ciberseguridad en el intercambio entre los presidentes Biden y Putin», dice.

Si surge que los arrestos que tuvieron lugar en Ucrania no derribaron la infraestructura principal de Cl0p porque está ubicada en Rusia, mostrará que este último ha asumido una postura más cooperativa hacia los operadores de ransomware, dice Toth-Czifra.

Oliver Tavakoli, director de tecnología de Vectra, dice que los esfuerzos recientes de las fuerzas del orden representan un buen comienzo para la interrupción a largo plazo de la economía del ransomware.

«Cuando aumenta la probabilidad de repercusiones, se atraerá a menos personas al negocio del ransomware», señala Tavakoli.

Acciones como las interrupciones de la infraestructura y la recuperación de rescates hacen que el ransomware sea menos lucrativo y menos personas se sentirán atraídas por el ecosistema, agrega.

«Se requerirán impulsos concertados y prolongados para doblar esta curva en una dirección positiva, pero estos esfuerzos representan un comienzo creíble», dice Tavakoli.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic