Agencias de aplicación de la ley confiscan 375 mil dólares en redada de ransomware en Ucrania



Cinco agencias policiales anunciaron hoy el arresto de dos operadores de ransomware que, a partir del 20 de abril, presuntamente llevaron a cabo una serie de ataques dirigidos contra grandes organizaciones industriales en Europa y América del Norte.

El arresto fue realizado en Ucrania el 28 de septiembre por el Centro Nacional de Delitos Cibernéticos de la Gendarmería Nacional de Francia, el Departamento de Policía Cibernética de la Policía Nacional de Ucrania, la Oficina de Campo del FBI en Atlanta, Europol e Interpol.

A Comunicado de Europol afirma que los arrestos llevaron a la incautación de 375.000 dólares estadounidenses en efectivo y dos vehículos de lujo por valor de 217.000 euros (252.116 dólares estadounidenses), así como a la congelación de 1,3 millones de dólares en criptomonedas.

Las autoridades ucranianas dijeron los sospechosos fueron responsables de ataques contra más de 100 organizaciones en todo el mundo y causaron más de $ 150 millones en daños.

Hasta el lunes por la tarde, no se reveló la identidad de la banda de ransomware. Europol dijo que los operadores de ransomware eran conocidos por sus elevadas demandas de rescate, que en algunos casos alcanzaron los 70 millones de euros (81,3 millones de dólares).

Como muchas otras bandas de ransomware, estos operadores desplegarían malware y robarían datos confidenciales de sus víctimas antes de cifrar los archivos. Luego ofrecerían una clave de descifrado a cambio de un pago de rescate, lo que se sumaría a la extorsión al amenazar con filtrar los datos robados en la Darkish Net si las víctimas se negaban a cumplir con sus demandas.

Esta redada fue significativa porque los actores de amenazas fueron arrestados en Ucrania, que la industria a menudo ve como un refugio relativamente seguro para el ciberdelito, dice Jake Williams, cofundador y CTO de BreachQuest.

«Es casi seguro que esto lanzará una llave inglesa en otras operaciones de ransomware como servicio», dice Williams. «Algunos operadores se preocuparán por la información comprometida en esta redada, mientras que otros están reevaluando la seguridad relativa de sus operaciones físicas, especialmente si están operando en Ucrania».

Ucrania tiene algunos de los mejores desarrolladores de software package del mundo, por lo que no sorprende que algunos de ellos conviertan sus habilidades en actividades ilícitas, dijo el director ejecutivo de Gurucul, Saryu Nayyar. Esto fue importante porque a menudo es muy difícil asegurar el apoyo de los gobiernos en algunos países de Europa del Este para ataques cibernéticos que no necesariamente los afectan, dice.

«Por lo tanto, el uso de los recursos de la policía de Ucrania, Francia, Europol, Interpol y el FBI trabajando juntos para acorralar dos operaciones de ransomware separadas representa un verdadero éxito para la aplicación de la ley internacional, así como una oportunidad para los atacantes de ransomware actuales y futuros, «Dice Nayyar. «Más esfuerzos en este sentido deberían ayudar a reducir los casos de ataques de ransomware contra organizaciones que simplemente se ocupan de sus negocios».

Stefano De Blasi, analista de inteligencia de amenazas cibernéticas en Digital Shadows, dice que los sospechosos supuestamente comprometieron a sus víctimas a través de campañas de spear-phishing y herramientas de trabajo remotas como el Protocolo de escritorio remoto (RDP) y las redes privadas virtuales (VPN). Esto resalta cómo la ingeniería social sigue siendo un vector de acceso very important para los actores de amenazas, dice, ya que la curiosidad humana a menudo se explota para eludir las defensas tecnológicas. El uso de RDP y VPN para comprometer a las organizaciones sugiere que los sospechosos probablemente hayan obtenido acceso a las víctimas mediante la compra de listados de agentes de acceso inicial (IAB) en foros y mercados de ciberdelincuentes, agrega De Blasi.

«La policía ucraniana dijo que los sospechosos tenían un cómplice que ayudó al grupo a lavar dinero obtenido por medios ilícitos», dice De Blasi. «El uso de personas capacitadas en el lavado de dinero ha sido un component significativo en el desarrollo de grupos de ransomware en un modelo de negocio felony eficaz. Aunque las agencias de aplicación de la ley no han nombrado a la banda de ransomware detrás de esta operación, no está claro hasta qué punto la operación tendrá el grupo en cuestión o en el ecosistema de ransomware más amplio «.

Eddy Bobritsky, director ejecutivo de Minerva Labs, dice que su equipo cree que la redada representa un muy buen paso en la lucha contra los ciberdelincuentes y sienten mucha curiosidad por la identidad de los dos operadores.

«Algunos especulan que podría ser la pandilla REvil, pero por el momento no tenemos información sobre el tema», dice Bobritsky. «Nos complace ver que se están tomando medidas serias para defender a las empresas de los ciberataques, pero, por supuesto, no es suficiente, y todas las empresas deben protegerse contra posibles ciberataques previniendo un ataque incluso antes de que comience la etapa inicial».

Tim Wade, director técnico del equipo de CTO de Vectra, agrega que hay dos caras de la moneda cuando se trata de desincentivar las actividades de ransomware. En primer lugar, está la cuestión de cómo las organizaciones pueden protegerse a sí mismas y qué inversiones en personas, procesos y tecnología están haciendo para aumentar su resiliencia contra el tipo de interrupción que representa el ransomware, dice.

«Pero la aplicación de la ley coordinada es la otra mitad de esa moneda», dice Wade. «Y estos arrestos indican que cuando se trata de proclamaciones recientes sobre la inaceptabilidad del ransomware, hay algo de mordisco».



Enlace a la noticia unique