Seguridad

Operación ‘Bakovia’: cinco detenidos por difundir el ransomware CTB-Locker

El ransomware de las cosas llegará en 2017

Una operación en la que han participado autoridades de medio mundo ha dado muerte a una de las redes de ransomware más agresivas de los últimos tiempos, estrellas de las infecciones con CTB-Locker y Cerber.

Golpe a las redes de ransomware que operan en el Viejo Continente. Han sido las autoridades rumanas las que han arrestado a tres personas sospechosas de haber infectado miles de sistemas informáticos mediante el conocido malware CTB-Locker (Curve-Tor-Bitcoin Locker), mientras que sus colegas en Bucarest han arrestado a otros dos sujetos dentro del mismo grupo criminal.

El proceso es el que sigue: a principios de 2017, las autoridades rumanas recibieron información detallada de la Unidad Holandesa de Delitos contra la Alta Tecnología y de otras autoridades que indicaban que un grupo de ciudadanos rumanos estaba involucrado en el envío de mensajes no deseados. Este spam se redactó específicamente para que pareciera enviado por empresas conocidas de países como Italia, los Países Bajos y el Reino Unido.

La intención de los mensajes de spam era infectar los sistemas informáticos y cifrar sus datos con el ransomware CTB-Locker aka Critroni. Cada correo electrónico tenía un archivo adjunto, a menudo en forma de una factura archivada, que contenía un archivo malicioso. Una vez que se abría este archivo adjunto en un sistema Windows, el malware cifraba los archivos en el dispositivo infectado.

Ransomware: ¿Merece la pena pagar el rescate de tu equipo?

CTB-Locker se detectó por primera vez en 2014 y fue una de las primeras variantes de ransomware en utilizar Tor para ocultar su infraestructura de comando y control. Se dirige a casi todas las versiones de Windows, incluidos XP, Vista, 7 y 8. Una vez infectado, todos los documentos, fotos, música, videos, etc. en el dispositivo se cifran de forma asimétrica, lo que hace que sea muy difícil descifrar los archivos sin la llave en posesión de los delincuentes, que solo es liberada tras el pago de un rescate. Hasta la fecha se han identificado más de 170 víctimas de varios países europeos.

Además de la propagación de CTB-Locker, dos personas dentro del mismo grupo criminal rumano también son sospechosas de distribuir el ransomware Cerber, mediante el que se contaminaba una gran cantidad de sistemas informáticos en los Estados Unidos. De hecho, el Servicio Secreto de EEUU ya ha iniciado una investigación sobre las infecciones con Cerber. Inicialmente, la investigación CTB-Locker fue separada de la investigación Cerber. Sin embargo, los dos casos se unieron cuando resultó que el mismo grupo rumano estaba detrás de estos dos ataques.

Estas detenciones también arrojan luz sobre otro fenómeno en auge, el del crimen como servicio. No en vano, los sospechosos que han sido detenidos no desarrollaron el malware ellos mismos, sino que lo adquirieron a otros ciberdelincuentes, a quienes pagaban alrededor del 30% de las ganancias.

La investigación, llamada ‘Bakovia’, ha sido de las más espectaculares que se recuerdan en la arena digital y de las que más organismos ha involucrado. Para los seis registros en domicilios en Rumanía se requirió un laborioso trabajo conjunto de la policía de ese país con la fiscalía rumana y holandesa, la Policía Nacional Holandesa, la Agencia Nacional del Crimen del Reino Unido, el FBI norteamericano, el Centro Europeo de Ciberdelincuencia (EC3) de la Europol y el Equipo de Acción Conjunta contra el Delito Cibernético.

Y si la operación policial ha sido tan concurrida, no lo son menos los cargos que se le imputan a los detenidos. Así, el grupo criminal está siendo procesado por acceso no autorizado a sistemas informáticos, obstaculización grave de un sistema informático, uso indebido de dispositivos con la intención de cometer delitos cibernéticos y chantaje.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, La Razón, El Mundo, ComputerWorld, CIO España, Business Insider, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo, ganador del Premio Día de Internet 2018 a mejor marca personal en RRSS y finalista en los European Digital Mindset Awards 2016, 2017 y 2018.