Una operación dirigida por INTERPOL permite desarticular una prolífica banda de ciberdelincuentes

5 de noviembre de 2021
Los principales miembros están en manos de la justicia y con sus bienes confiscados

SEÚL (Corea) - Una investigación y una operación transcontinentales de 30 meses de duración han dado lugar a detenciones y a la publicación de notificaciones rojas sobre varios sospechosos que se cree están detrás de una red mundial de ciberdelincuentes especializada en los programas malignos.

Se han difundido dos notificaciones rojas (avisos sobre personas buscadas a escala internacional) entre los 194 países miembros de INTERPOL, a raíz de una solicitud presentada por la División de Investigación sobre Ciberdelincuencia de Corea a través de la Oficina Central Nacional de INTERPOL en Seúl.

Las notificaciones se publican tras la detención en Ucrania de seis miembros de un conocido grupo de autores de ataques con ransomware, en el transcurso de una operación mundial coordinada por INTERPOL y realizada en junio en colaboración con las autoridades policiales de Corea, Estados Unidos y Ucrania.

Esta ofensiva mundial –denominada operación Cyclone– se produce a raíz de las investigaciones policiales efectuadas en todo el mundo en relación con los ataques perpetrados contra empresas coreanas e instituciones académicas estadounidenses por el grupo delictivo que utilizaba el ransomware Cl0p.

Los responsables de la difusión de este programa maligno, que operaban desde Ucrania, atacaron presuntamente objetivos privados y empresariales en Corea y Estados Unidos, bloqueando el acceso a los archivos informáticos y redes, para luego exigir rescates extorsivos a cambio del restablecimiento de dicho acceso.

Se cree que los sospechosos facilitaron la transferencia y el cobro de activos en nombre del grupo de ransomware, al tiempo que amenazaban con hacer públicos los datos sensibles si no se efectuaban pagos suplementarios.

Operación basada en información policial

La operación Cyclone se coordinó desde el Centro de INTERPOL de Intercambio de Información sobre la Ciberdelincuencia, sito en Singapur, donde las partes interesadas intercambiaron información policial en un entorno interactivo y protegido utilizando la red y las capacidades mundiales de INTERPOL.

La información resultante permitió a la policía de Ucrania registrar más de 20 viviendas, empresas y vehículos, confiscar bienes y ordenadores, e incautarse de 185 000 USD en efectivo, además de practicar las seis detenciones citadas.

"A pesar de la espiral de ataques de ransomware registrada a escala mundial, esta alianza entre la policía y el sector privado ha permitido una de las primeras detenciones de integrantes de una banda de ciberdelincuentes que se practican en el mundo, lo que envía un poderoso mensaje a los delincuentes que se dedican a tales ataques: no importa dónde se escondan en el ciberespacio, los perseguiremos sin tregua", declaró el Director de Ciberdelincuencia de INTERPOL, Craig Jones.

INTERPOL lanzó la operación Cyclone con la ayuda de la información proporcionada en el marco de su proyecto Gateway por sus socios del sector privado Trend Micro, CDI, Kaspersky Lab, Palo Alto Networks, Fortinet y Group-IB.

El proyecto Gateway fomenta la colaboración entre las fuerzas del orden y el sector privado para generar datos sobre amenazas a partir de numerosas fuentes y permitir a las autoridades policiales prevenir los ataques.

Como una nueva ilustración del poder de la cooperación del sector privado en las investigaciones sobre ciberdelincuencia, cabe mencionar que dos empresas coreanas especializadas en la lucha contra las ciberamenazas –S2W LAB y KFSI– también facilitaron a INTERPOL a lo largo de la operación valiosos análisis sobre datos de la web oscura.

La operación Cyclone sigue aportando pruebas que están alimentando nuevas investigaciones sobre ciberdelincuencia y permiten a la comunidad policial internacional desbaratar numerosos canales utilizados por los ciberdelincuentes para blanquear criptomonedas.

Una importante amenaza para la seguridad

Se cree que los seis sospechosos guardan estrechas conexiones con una banda de ciberdelincuentes de habla rusa conocida por someter a escarnio público a sus víctimas en un sitio de filtraciones de la red Tor, y por los movimientos de más de 500 millones de dólares en fondos relacionados con numerosas actividades de ransomware.

Sus ataques se dirigen a infraestructuras esenciales, como las de los sectores del transporte y la logística, la educación, la industria manufacturera, la energía, las finanzas, la industria aeroespacial, las telecomunicaciones, la sanidad y la alta tecnología, en todo el mundo.

Si son declarados culpables, los seis sospechosos se enfrentan a penas de hasta ocho años de prisión.