Un total de 12 personas que causaron estragos por todo el mundo con ataques de software de secuestro o ransomware contra infraestructuras críticas han sido detenidas como resultado de una operación policial que ha involucrado al menos a ocho países.

Se cree que estos ataques afectaron a más de 1.800 víctimas en 71 países. Estos ciberdelincuentes son conocidos por dirigirse específicamente a grandes corporaciones, de modo que les resulta más fácil optimizar su negocio.

Las detenciones tuvieron lugar a finales de octubre en Ucrania y Suiza. La mayoría de estos sospechosos son considerados objetivos de alto valor porque están siendo investigados paralelamente en múltiples casos de alto perfil y en diferentes jurisdicciones.

Como resultado de la actuación policial, se confiscaron más de 52.000 dólares norteamericanos en efectivo, junto con 5 vehículos de lujo. Actualmente, los informáticos forenses están examinando varios dispositivos electrónicos para obtener pruebas e identificar nuevas pistas de investigación.

Todos los sospechosos tenían diferentes roles en estas organizaciones criminales altamente organizadas. Algunos de estos delincuentes utilizaban múltiples mecanismos para aprovecharse de las vulnerabilidades de las redes, como ataques diversos, inyecciones SQL, credenciales robadas y mensajes electrónicos de pesca con ficheros adjuntos maliciosos.

Una vez en la red, algunos de estos ciberdelincuentes se centrarían en moverse con fin delictivo, desplegando software malicioso como Trickbot, o marcos de postexplotación como Cobalt Strike o PowerShell Empire, para no ser detectados y obtener más accesos.

Entonces, los delincuentes entrarían sin ser detectados en los sistemas comprometidos, a veces durante meses, e investigarían más debilidades en las redes, antes de pasar a monetizar la infección mediante la implementación de un software de rescate. Se sabe que estos delincuentes han desplegado el ransomware LockerGoga, MegaCortex y Dharma, entre otros.

Los efectos de los ataques de software de secuestro fueron devastadores, ya que los delincuentes habían tenido tiempo de explorar las redes informáticas sin ser detectados. Entonces, presentaron una nota de rescate a la víctima, que exigía que pagara a los atacantes en bitcoines a cambio de claves de desencriptación.

Se sospecha que diversas de las personas detenidas eran las encargadas de blanquear los pagos del rescate: canalizarían los pagos del rescate con bitcoines a través de varios servicios, antes de cobrar las ganancias ilícitas.

_____

Aquest apunt en català / This post in English / Post en français