Agencias policiales de siete países, en colaboración con Europol y Eurojust, han arrestado a miembros clave de un grupo de ransomware en Ucrania vinculado a ataques contra organizaciones en 71 países. Los ciberdelincuentes están utilizando ransomware como LockerGoga, MegaCortex, HIVE y Dharma para llevar a cabo ataques, paralizando las operaciones de las principales empresas.
Los roles dentro de esta red criminal varían ampliamente: algunos miembros violan las redes de TI, mientras que otros supuestamente ayudan a las víctimas a pagar criptomonedas para descifrar sus archivos.
Los atacantes obtienen acceso a las redes objetivo mediante ataques de fuerza bruta y de inyección SQL para robar credenciales de usuario y utilizar correos electrónicos de phishing con archivos adjuntos maliciosos.
Una vez dentro, utilizan herramientas como el malware TrickBot, CobaltStrike y PowerShellEmpire para moverse lateralmente y comprometer otros sistemas antes de activar cargas útiles de ransomware previamente implementadas.
Las investigaciones revelaron que este grupo organizado afiliado a ransomware cifró más de 250 servidores de grandes empresas, lo que provocó pérdidas superiores a cientos de millones de euros.
El 21 de noviembre, redadas coordinadas en 30 localidades de Kiev, Cherkasy, Rivne y Vinnitsa llevaron al arresto del cerebro del grupo, de 32 años, y a la captura de cuatro cómplices.
Más de 20 investigadores de Noruega, Francia, Alemania y Estados Unidos ayudan a la Policía Nacional de Ucrania en la investigación en Kiev. Europol también ha creado un centro de mando virtual en los Países Bajos para procesar los datos capturados durante los registros domiciliarios.
Esta acción se produce tras el arresto de 12 personas en 2021 en relación con ataques de ransomware dirigidos a 1.800 víctimas en 71 países como parte de la misma operación policial.
Como revelaron las investigaciones de hace dos años, los atacantes implementaron los ransomware LockerGoga, MegaCortex y Dharma. También utilizaron malware como Trickbot y herramientas post-explotación como CobaltStrike en sus ataques.
Los esfuerzos posteriores de Europol y Noruega se centrarán en analizar los datos de los dispositivos incautados en Ucrania en 2021 y ayudar a identificar a otros sospechosos arrestados en Kiev hace una semana.
Esta operación policial internacional fue lanzada por las autoridades francesas en septiembre de 2019 y se centra en encontrar actores de amenazas en Ucrania y llevarlos ante la justicia con la ayuda del Equipo Conjunto de Investigación (JIT) compuesto por Noruega, Francia, el Reino Unido y Ucrania. Apoyo de Eurojust y cooperación con autoridades de Países Bajos, Alemania, Suiza y Estados Unidos.
La lista de agencias policiales participantes incluye:
Noruega: Servicio Nacional de Investigación Criminal (Kripos)
Francia: Fiscalía de París, Policía Nacional (PoliceNationale-OCLCTIC)
Países Bajos: Policía Nacional (Politie), Fiscalía Nacional (Landelijk Parket, OpenbaarMinistryie)
Ucrania: Fiscalía General (ОфісГенеральногопрокурора), Policía Nacional de Ucrania (НаціональнаполіціяУкраїни)
Alemania: Fiscalía de Stuttgart, Jefatura de Policía de Reutlingen (Polizeipräsidium Reutlingen) CIDEsslingen
Suiza: Policía Federal Suiza (Fedpol), Policía Cantonal de Basilea, Fiscalía Cantonal de Zúrich, Policía Cantonal de Zúrich
Estados Unidos: Servicio Secreto de los Estados Unidos (USSS), Oficina Federal de Investigaciones (FBI)
Europol: Centro Europeo de Ciberdelincuencia (EC3)
justicia europea