Detenido en Alicante un ciberatracador que robó más de 1.000 millones $

Agentes de la Policía Nacional, en un operativo coordinado por Europol y la Fiscalía Especializada de Criminalidad Informática, han detenido en Alicante a un ciberatracador responsable de centenares de ataques a entidades bancarias de todo el mundo cometidos desde España mediante sofisticados ataques informáticos y que sustrajo más de 1.000 millones de dólares, informa Delegación del Gobierno.

El arrestado, Denis K., de nacionalidad ucraniana, junto con otros tres miembros de la organización, de nacionalidades rusa y ucraniana, infectaban con un software malicioso los sistemas informáticos de entidades bancarias, principalmente rusas, pero también de Bielorrusia, Azerbaiyán, Kazajistán, Ucrania y Taiwan, tomando el control de los sistemas críticos que les permitía vaciar cajeros de forma remota, alterar saldos o modificar cuentas.

En el caso de España, la organización criminal atacó durante el primer trimestre de 2017 cajeros situados en el centro de Madrid realizando extracciones fraudulentas por un valor de medio millón de euros. “Estamos ante una de las operaciones más importantes de la Unidad Central de Ciberdelincuencia de la Policía Nacional por la transcendencia internacional del cibercriminal detenido”, subrayó el ministro del Interior durante una comparecencia pública para informar de lo que calificó “complicadísimo trabajo de investigación”.

1,5 millones de dólares de media en cada operación

Desde que comenzaron a operar en el año 2013 este grupo de delincuentes logró acceder a prácticamente todos los bancos de Rusia. Los beneficios obtenidos con cada ataque, que superaban el millón y medio de dólares de media, eran convertidos inmediatamente en criptomonedas con el fin de facilitar su movimiento en una red internacional de blanqueo de capitales.

En el registro realizado en el domicilio del detenido se han intervenido equipos informáticos, joyas valoradas en 500.000 euros, diversa documentación y dos vehículos de alta gama, entre otros efectos. Además se han bloqueado cuentas bancarias y dos viviendas valoradas en cerca de 1.000.000 de euros.

La investigación iniciada a principios de 2015 ha resultado especialmente compleja al tener que conjugar técnicas de investigación tradicionales contra el crimen organizado y novedosos métodos para la búsqueda de indicios probatorios en infraestructuras cibernéticas y el uso de criptomonedas. Los investigadores españoles han contado con el apoyo operativo del FBI y de Interpol.

Juan Ignacio Zoido ha elogiado el trabajo de la Unidad de Ciberdelincuencia de la Policía Nacional y ha asegurado que se trata de una de las más prestigiosas del mundo.

El arrestado dirigía esta organización criminal desde España creada a finales del año 2013 e integrada por otros tres individuos con los que había establecido contacto a través de foros en Internet y con los que no mantenía contacto personal alguno.

A pesar del elevadísimo nivel técnico de sus integrantes, los ciberdelincuentes necesitaban el apoyo de otros grupos criminales para coordinar el trabajo de las “mulas” encargadas de las extracciones de dinero en efectivo de los cajeros automáticos que atacaban en diferentes países. Hasta el año 2015 fue la mafia rusa la encargada de este cometido y a partir de 2016 lo hizo la mafia moldava.

Softwares maliciosos

Desde su constitución hace cinco años los cibercriminales evolucionaron el software malicioso empleado en sus ciberataques cada vez que las empresas de seguridad desarrollaban mecanismos de detección y bloqueo. A mediados del año pasado, la banda desarrolló una nueva herramienta, Cobalt Strike, de acceso remoto que les permitió atacar bancos de todas las ex repúblicas soviéticas y hasta de Taiwan.

Seguidamente pusieron en marcha otro malware indetectable y más sofisticado que les hubiera permitido atacar a entidades bancarias de prácticamente todo el mundo y que tenían previsto empezar a utilizar de forma inminente.

El modus operandi utilizado comenzaba con el envío masivo de correos electrónicos fraudulentos suplantando la identidad de organismos o empresas legítimas y dirigidos a una multitud de direcciones de correo electrónico de empleados de entidades bancarias de todo el mundo. Estos correos adjuntaban un fichero, generalmente en formato .RTF o .DOC, que contenían un código malicioso que hacía posible explotar alguna vulnerabilidad no actualizada en los sistemas informáticos de las víctimas.

Una vez el empleado recibía el correo electrónico y abría el fichero adjunto, y en aquellos casos en los que la vulnerabilidad no se encontraba debidamente actualizada en el ordenador del empleado, se ejecutaba en su ordenador un código malicioso. Este iniciaba la descarga de un paquete del software que permitía, posteriormente, el control remoto del mismo desde servidores de comando y control.

Desde el ordenador infectado del empleado intentaban escalar privilegios dentro del sistema comprometido y se movían lateralmente a otros dispositivos de la red interna bancaria, hasta que tomaban el control de sistemas críticos del banco. Una vez los cibercriminales conseguían el control, manejaban los cajeros automáticos ordenándoles remotamente que expidieran dinero, ejecutaban modificaciones de saldo en cuentas concretas para realizar posteriormente extracciones con tarjetas asociadas, o desviaban transferencias de grandes cantidades de dinero a cuentas de la organización.