Una operación internacional coordinada por Europol ha desmantelado la infraestructura de un grupo hacktivista prorruso conocido como NoName057(16), vinculado a una serie de ataques de denegación de servicio distribuido (DDoS) contra Ucrania y sus aliados.
Las acciones han provocado el desmantelamiento de gran parte de la infraestructura central de servidores del grupo y de más de 100 sistemas en todo el mundo. El esfuerzo conjunto también incluyó dos detenciones en Francia y España, registros de dos docenas de domicilios en España, Italia, Alemania, República Checa, Francia y Polonia, y la emisión de órdenes de arresto contra seis ciudadanos rusos.
Una acción coordinada entre doce países permitió desactivar la infraestructura de la red NoName057, responsable de ataques DDoS contra infraestructuras críticas en Europa y aliadas de Ucrania. NoName057(16) lleva operando desde marzo de 2022, actuando como un colectivo pro-Kremlin que moviliza a simpatizantes ideológicos en Telegram para lanzar ataques DDoS contra sitios web mediante un programa especial llamado DDoSia a cambio de un pago en criptomonedas con el fin de mantenerlos incentivados. Surgió poco después de la invasión rusa de Ucrania.
La reciente operación internacional que logró desmantelar la infraestructura de la red prorrusa NoName057(16) ha puesto de relieve la magnitud y el alcance de las amenazas cibernéticas que enfrentan tanto Ucrania como los países europeos aliados de Kiev, muchos de ellos miembros de la OTAN.
"Desde el inicio de la guerra de agresión contra Ucrania (2022), NoName057(16) ha mostrado abiertamente su apoyo a Rusia y ha ejecutado múltiples ataques DDoS contra infraestructuras críticas durante eventos políticos de alto nivel. El grupo también ha difundido una fuerte retórica anti-OTAN y antiestadounidense", explicó la agencia de coordinación judicial Eurojust.
Además, las autoridades identificaron a los principales instigadores, quienes residen en Rusia. La acción coordinada fue anunciada este miércoles por las agencias Europol y Eurojust, que detallaron la magnitud de la intervención: más de 100 servidores en todo el mundo quedaron desconectados, incluido gran parte del servidor central de la red, y se realizaron 24 registros en países como Alemania, España, Italia, Chequia, Polonia y Francia para recoger pruebas.
La red NoName057(16), que llegó a contar con más de 4.000 simpatizantes, se especializaba en ataques de denegación de servicio distribuido (DDoS) dirigidos contra infraestructuras críticas. Según Eurojust, estos ataques afectaron a proveedores de energía, sistemas de transporte público y páginas institucionales en toda Europa.
"La red es responsable de múltiples ataques de denegación de servicio distribuido (DDoS) dirigidos contra infraestructuras críticas", señaló la agencia europea, subrayando la gravedad de las acciones perpetradas por el grupo.
El grupo prorruso se distinguió no solo por la cantidad de ataques, sino también por su capacidad para coordinar acciones durante eventos políticos de alto perfil. Entre sus víctimas más recientes figura Países Bajos, que fue atacado durante la cumbre de la OTAN a finales de junio. Aunque el ataque no causó interrupciones importantes, evidenció la persistencia y el alcance de la amenaza.
Además, NoName057(16) ya había lanzado ataques en toda Europa durante las elecciones europeas, lo que demuestra su interés en influir o desestabilizar procesos democráticos clave. En los últimos años, se registraron 14 ciberataques atribuidos a NoName057(16), algunos de los cuales se prolongaron durante varios días y afectaron a unas 230 organizaciones. Entre los objetivos se encontraban fábricas de armas, proveedores eléctricos y entidades gubernamentales.
De acuerdo con la publicación, estos ataques pusieron en jaque la seguridad de infraestructuras esenciales y evidenciaron la vulnerabilidad de los sistemas ante amenazas coordinadas desde el extranjero.
La actividad de NoName057(16) no se limitó a Alemania. En Suecia, las páginas web de autoridades y bancos se convirtieron en blanco de los ataques, mientras que en Suiza, los ciberataques coincidieron con momentos de alta relevancia política.
Uno de los episodios más destacados ocurrió en junio de 2023, cuando el presidente de Ucrania, Volodimir Zelenski, dirigió un mensaje en video ante el Parlamento suizo. Un año después, durante la Cumbre por la Paz de Ucrania en junio de 2024, la red volvió a actuar, demostrando su capacidad para sincronizar sus acciones con eventos internacionales de gran visibilidad.
La estructura operativa de NoName057(16) se basaba en la movilización de simpatizantes a través de aplicaciones de mensajería. Según Eurojust, la red logró reclutar a unos 4.000 usuarios que descargaron un programa maligno, lo que les permitía participar activamente en los ataques DDoS.
Además, el grupo construyó su propia botnet, es decir, una red de robots informáticos, con “cientos de servidores en todo el mundo para aumentar el poder destructivo de sus ataques”, subrayó Eurojust. Esta infraestructura descentralizada y robusta permitió a la organización multiplicar el alcance y la intensidad de sus ofensivas digitales.
Las autoridades nacionales de los países involucrados en la operación no solo se centraron en desmantelar la infraestructura técnica, sino también en advertir a los seguidores del grupo sobre las consecuencias legales de su participación.
En total, contactaron a unos 1.100 seguidores, incluidos 17 administradores, enviándoles mensajes a través de una aplicación popular para informarles de las posibles sanciones que enfrentan según la legislación de cada país. Esta estrategia buscó disuadir la participación futura y subrayar la seriedad de los delitos cibernéticos.
El perfil de los participantes en NoName057(16) revela una composición mayoritariamente de simpatizantes de habla rusa, quienes utilizaban herramientas automatizadas para llevar a cabo los ataques. Cinco personas de Rusia han sido añadidas a la lista de los más buscados de la UE por presuntamente apoyar a NoName57(16).
Según la información proporcionada por EFE, estos individuos actuaban sin una jerarquía formal ni grandes habilidades técnicas, guiados principalmente por la ideología y la posibilidad de obtener recompensas. Esta característica distingue a NoName057(16) de otras organizaciones cibercriminales más estructuradas y profesionalizadas, y plantea desafíos particulares para las autoridades encargadas de la persecución y prevención de estos delitos.
La operación internacional que permitió el desmantelamiento de la infraestructura de NoName057(16) representa un hito en la cooperación policial y judicial transfronteriza.
Fuente: THN