Singapur - Una operación de cuatro años de duración llevada a cabo en los cinco continentes ha permitido desbaratar una banda de ciberdelincuentes que cometía ataques con ransomware y detener a siete sospechosos que al parecer ejecutaban operaciones mundiales de infección con malware.
En esta operación transcontinental, denominada Quicksand (GoldDust), que fue llevada a cabo por 19 organismos encargados de la aplicación de la ley en 17 países, los agentes recopilaron y examinaron información policial para conocer el alcance de la amenaza mundial que representan los ataques perpetrados con distintos tipos de ransomware - en particular GandCrab y REvil-Sodinokibi- y saber quién podía estar detrás de ellos.
El grupo de delincuencia organizada que utilizó estos programas malignos accedía ilícitamente a las redes informáticas de empresas y particulares utilizando distintas técnicas de infiltración, y luego infectaba los ordenadores con los programas cifrando los archivos. Acto seguido chantajeaba a las empresas y las personas para que les pagaran cuantiosos rescates a cambio de recuperar sus archivos.
Se sospecha que las personas detenidas durante la operación Quicksand cometieron decenas de miles de infecciones de ransomware, y que exigieron rescates por valor de más de 200 millones de euros.
Resultados tangibles: numerosas detenciones en todo el mundo
La información intercambiada durante la operación permitió efectuar las detenciones siguientes:
- en Corea, tres sospechosos en febrero, abril y octubre;
- en Kuwait, un hombre que presuntamente había efectuado ataques utilizando el ransomware GandCrab;
- en Rumanía, dos personas sospechosas de realizar ciberataques con ransomware, que se cree que han cometido 5 000 infecciones y que han obtenido medio millón de euros en rescates;
- el presunto autor del ataque del ransomware Kaseya, que se cree que fue ejecutado el pasado mes de julio por la banda REvil, y que afectó a más de 1 500 particulares y 1 000 empresas en todo el mundo.
"Los ataques de ransomware se han convertido en una amenaza demasiado grande como para que cualquier sector o entidad pueda solucionarlos por sí solos. La magnitud de este problema exige urgentemente una acción mundial conjunta, que solo INTERPOL puede facilitar en su calidad de socio mundial neutral y de confianza", declaró el Secretario General de INTERPOL, Jürgen Stock.
"La policía debe aprovechar los conocimientos del sector de la ciberseguridad para identificar a los ciberdelincuentes y atajar sus actividades formando una verdadera coalición, trabajando juntos para reducir las repercusiones mundiales de los delitos que son los ataques con ransomware", añadió Stock.
Una coalición mundial muy capaz
La operación Quicksand, llevada a cabo en colaboración con Europol, se coordinó desde el Centro de INTERPOL de Intercambio de Información sobre la Ciberdelincuencia, situado en Singapur, desde donde las partes interesadas intercambiaron información en tiempo real, en un entorno interactivo y protegido, a través de la red mundial de INTERPOL y empleando las capacidades globales de esta organización mundial.
En el marco del proyecto Gateway de INTERPOL, las empresas asociadas a esta organización Trend Micro, CDI, Kaspersky Lab y Palo Alto Networks también contribuyeron a las investigaciones aportando información y conocimientos técnicos.
El proyecto Gateway tiene por finalidad fomentar la colaboración entre las fuerzas del orden y el sector privado para conseguir datos sobre amenazas generados por distintas fuentes que puedan ayudar a la policía a prevenir ataques informáticos.
La empresa Bitdefender apoyó las operaciones creando herramientas adaptadas de descifrado de archivos para desbloquear los programas de ransomware de modo que las víctimas pudieran recuperar sus ficheros. Estas innovadoras herramientas permitieron a más de 1 400 empresas descodificar sus redes, y evitarse unas pérdidas de casi 475 millones de euros.
Las compañías KPN, McAfee y S2W ayudaron a las investigaciones aportando a INTERPOL y a sus países miembros conocimientos técnicos sobre el ciberespacio y los programas malignos.
La operación Quicksand sigue aportando pruebas que son de utilidad para otras investigaciones sobre ciberdelincuencia, y que sirven además a la comunidad policial internacional para interceptar numerosos canales utilizados por los ciberdelincuentes para blanquear criptomonedas y cometer ataques de ransomware.
Se cree que los pagos efectuados a escala mundial para rescatar archivos atacados con distintos tipos de ransomware ascienden a miles de millones de dólares, y que esta actividad delictiva produce miles de víctimas en todo el mundo, por lo que los socios del sector privado y los países miembros de INTERPOL trabajan de consuno para prestar apoyo a las víctimas de este fenómeno.
Una investigación de la sociedad Chainalysis permitió descubrir que los delincuentes habían obtenido 350 millones de dólares en 2020 gracias a los pagos por ransomware, lo que representa un aumento del 311 % en un año. En el mismo período, el pago medio de rescates aumentó un 171 %, según Palo Alto Networks.
Entre los países participantes en la operación se encuentran Alemania, Australia, Bélgica, Canadá,
Corea del Sur, Estados Unidos, Filipinas, Francia, Luxemburgo, Noruega, Polonia, Rumanía, Suecia, Suiza, Kuwait, Países Bajos y Reino Unido.