A raíz de la operación multinacional de octubre dirigida a la infraestructura de la pandilla de ransomware REvil (también conocida como Sodinokibi), la policía rumana arrestó a dos presuntos afiliados a REvil sospechosos de estar detrás de hasta 5,000 ciberataques que generaron € 500,000 (£ 427,000 / $ 580,000) en una ley internacional en curso. operación de aplicación de la ley dirigida a la notoria banda criminal.
Las detenciones se realizaron el jueves 4 de noviembre en la ciudad de Constanza por la unidad rumana contra el crimen organizado y la lucha contra el terrorismo, DIICOT, con la asistencia de la policía local y la gendarmería nacional. DIICOT dijo que realizó búsquedas en cuatro casas en la ciudad costera del Mar Negro y confiscó teléfonos inteligentes, computadoras portátiles y dispositivos de almacenamiento.
La acción forma parte de la Operación GoldDust, un esfuerzo de 17 países coordinado por las agencias Europol y Eurojust de la Unión Europea (UE), Interpol y fuerzas policiales de todo el mundo, así como las firmas de seguridad cibernética Bitdefender, KPN y McAfee. La Operación GoldDust ha sido testigo de una amplia colaboración entre agencias para identificar y rastrear a los sospechosos y apoderarse de la infraestructura de TI utilizada en sus ataques.
La última operación significa que un total de siete sospechosos asociados con REvil y su predecesor GandCrab han sido detenidos desde febrero de 2021, con tres arrestos realizados en Corea del Sur, uno en Kuwait y otro en Europa. En total, se sospecha que han atacado a unas 7.000 víctimas.
Las raíces de la operación de aplicación de la ley se encuentran en una investigación dirigida por Rumania dirigida al predecesor de REvil, GandCrab, que se remonta a 2018, cuando era uno de los ransomwares más prolíficos. Después de que los operadores de GandCrab se “retiraran” en 2019, solo para lanzar REvil unos meses después, las pistas de esta investigación ayudaron a formar la base de la Operación GoldDust.
“REvil ha logrado comprometer a miles de empresas en todo el mundo y se sabe que extorsiona a las víctimas a pagos mucho mayores que el precio promedio del mercado. Las empresas que no pagaron e intentaron restaurar a partir de copias de seguridad fueron chantajeadas con la publicación de su información confidencial robada ”, dijo Bogdan Botezatu, director de investigación e informes de amenazas de Bitdefender.
“El equipo Draco de Bitdefender brindó asesoramiento y orientación sobre seguridad cibernética, especialmente en áreas de criptografía, análisis forense e investigaciones que ayudaron al consorcio de aplicación de la ley en esta operación a minimizar el impacto de los ataques exitosos de ransomware y, finalmente, llevaron a arrestos.
“Esta colaboración con las fuerzas del orden público es un excelente ejemplo del trabajo conjunto del sector público y privado para interrumpir significativamente las actividades delictivas cibernéticas”, agregó.
Trabajando junto con las fuerzas del orden y otros socios técnicos, Bitdefender también desempeñó un papel clave en el desarrollo de herramientas de descifrado gratuitas para GandCrab y REvil, que se pueden obtener en el sitio web No More Ransom.
En el momento de redactar este informe, la herramienta de descifrado REvil ha ayudado a más de 1.400 víctimas a descifrar sus redes sin tener que pagar a sus atacantes, ahorrando un estimado de 475 millones de euros en pérdidas potenciales, mientras que las herramientas de descifrado GandCrab han permitido más de 45.000 descifrados, ahorrando millones más.