En un esfuerzo sin precedentes, las autoridades judiciales y policiales de siete países han unido fuerzas con Europol y Eurojust para desmantelar y detener en Ucrania a figuras clave detrás de importantes operaciones de ransomware que causan estragos en todo el mundo. La operación llega en un momento crítico, mientras el país se enfrenta a los desafíos de la agresión militar de Rusia contra su territorio. VIDEO
La investigación se benefició de la financiación de la Plataforma Multidisciplinar Europea Contra las Amenazas Criminales (EMPACT).
Más de 20 investigadores de Noruega, Francia, Alemania y Estados Unidos fueron enviados a Kiev para ayudar a la Policía Nacional de Ucrania en sus medidas de investigación. Esta configuración se reflejó en la sede de Europol en los Países Bajos, donde se activó un puesto de mando virtual para analizar inmediatamente los datos incautados durante los registros domiciliarios en Ucrania.
Esta última acción se produce tras una primera ronda de detenciones en 2021 en el marco de la misma investigación. Desde entonces, se han organizado una serie de sprints operativos en Europol y en Noruega con el objetivo de analizar forensemente los dispositivos incautados en Ucrania en 2021. Este trabajo de seguimiento forense facilitó la identificación de los sospechosos atacados durante la acción de la semana pasada en Kiev.
Se cree que las personas investigadas forman parte de una red responsable de una serie de ataques de ransomware de alto perfil contra organizaciones en 71 países. Implementaron los ransomware LockerGoga, MegaCortex, HIVE y Dharma, entre otros, para llevar a cabo sus ataques.
Los sospechosos tenían diferentes roles en esta organización criminal. Se cree que algunos de ellos están involucrados en comprometer las redes informáticas de sus objetivos, mientras que se sospecha que otros están a cargo del blanqueo de pagos en criptomonedas realizados por las víctimas para descifrar sus archivos.
Los responsables de irrumpir en las redes lo hacían mediante técnicas que incluían ataques de fuerza bruta, inyecciones SQL y envío de correos electrónicos de phishing con archivos adjuntos maliciosos para robar nombres de usuario y contraseñas.
Una vez dentro de las redes, los atacantes no fueron detectados y obtuvieron acceso adicional utilizando herramientas como el malware TrickBot, Cobalt Strike y PowerShell Empire, para comprometer tantos sistemas como fuera posible antes de desencadenar ataques de ransomware.
La investigación determinó que los autores cifraron más de 250 servidores de grandes empresas, lo que provocó pérdidas de varios cientos de millones de euros.
Cooperación internacional
Por iniciativa de las autoridades francesas, en septiembre de 2019 se creó un equipo conjunto de investigación (JIT) entre Noruega, Francia, el Reino Unido y Ucrania, con el apoyo financiero de Eurojust y la asistencia de ambas agencias. Desde entonces, los socios del JIT colaboran estrechamente, en paralelo con las investigaciones independientes de las autoridades holandesas, alemanas, suizas y estadounidenses, para localizar a los autores de amenazas en Ucrania y llevarlos ante la justicia.
Esta cooperación internacional se ha mantenido firme e ininterrumpida, persistiendo incluso en medio de los desafíos que plantea la guerra en curso en Ucrania.
Inicialmente, un oficial de ciberpolicía ucraniano fue enviado a Europol durante dos meses para preparar la primera fase de la acción, antes de ser enviado a Europol de forma permanente para facilitar la cooperación policial en este campo.
Desde el inicio de la investigación, el Centro Europeo de Ciberdelincuencia (EC3) de Europol organizó reuniones operativas, proporcionando soporte forense digital, criptomonedas y malware, y facilitando el intercambio de información en el marco del Grupo de Trabajo Conjunto de Acción contra la Ciberdelincuencia (J-CAT) alojado en la sede de Europol.
Eurojust acogió doce reuniones de coordinación para facilitar la comunicación y la cooperación judicial entre las autoridades implicadas.
El análisis forense realizado en el marco de esta investigación también permitió a las autoridades suizas desarrollar, junto con los socios de No More Ransom, herramientas de descifrado para las variantes de ransomware LockerGoga y MegaCortex.
Fuente: Europol | CyberPolice