Agents de la Policia Nacional, en un operatiu coordinat per Europol i la Fiscalia Especialitzada de Criminalitat Informàtica, han detingut a Alacant a el "cervell" d'una organització presumptament responsable de centenars de ciberatracaments a entitats bancàries de tot el món comesos des d'Espanya mitjançant sofisticats atacs informàtics i que va sostraure "més de 1.000 milions de dòlars".
L'arrestat, Denis K., de nacionalitat ucraïnesa, juntament amb altres tres membres de l'organització, de nacionalitats russa i ucraïnesa, infectaven amb un programari maliciós els sistemes informàtics d'entitats bancàries, principalment russes, però també de Bielorússia, Azerbaidjan, Kazakhstan, Ucraïna i Taiwan, prenent el control dels sistemes crítics que els permetia buidar caixers de forma remota, alterar saldos o modificar comptes
En el cas d'Espanya, l'organització criminal va atacar durant el primer trimestre de 2017 caixers situats al centre de Madrid realitzant extraccions fraudulentes per un valor de mig milió d'euros. "Estem davant d'una de les operacions més importants de la Unitat Central de Ciberdelinqüència de la Policia Nacional per la transcendència internacional de l'cibercriminal detingut", ha subratllat el ministre de l'Interior, Juan Ignacio Zoido, durant una compareixença pública per informar d'este "complicadíssim treball de investigació ".
1,5 milions de dòlars de mitjana en cada operació
Des que van començar a operar l'any 2013 este grup de delinqüents va aconseguir accedir a pràcticament tots els bancs de Rússia. Els beneficis obtinguts amb cada atac, que superaven el milió i mig de dòlars de mitjana, eren convertits immediatament en moneda digital amb la finalitat de façalitar el seu moviment en una xarxa internacional de blanqueig de capitals.
En el registre realitzat en el domicili de l'detingut s'han intervingut equips informàtics, joies valorades en 500.000 euros, diversa documentació i dos vehicles d'alta gamma, entre d'altres efectes. A més s'han bloquejat comptes bancaris i dos habitatges valorades en prop de 1.000.000 d'euros.
La investigació iniciada a principis de 2015 ha resultat especialment complexa a l'haver de conjugar tècniques d'investigació tradicionals contra el crim organitzat i nous mètodes per a la recerca d'indicis probatoris en infraestructures cibernètiques i l'ús de moneda digital. Els investigadors espanyols han comptat amb el suport operatiu de l'FBI i d'Interpol.
La Unitat de Ciberdelinqüència, prestigiosa en el món
El ministre de l'Interior, Juan Ignacio Zoido, ha ressaltat la importància d'esta operació, "una de les més importants de la Unitat de Ciberdelinqüència de la Policia Nacional", per la transcendència internacional de l'cibercriminal detingut. "Vull que sàpiguen-va dir en la roda de premsa en la qual es va detallar l'operació policial-que comptem amb una de les unitats de Ciberdelinqüència més prestigioses de el món".
Zoido ha recordat que esta Unitat ha treballat durant 2017 en més de 500 investigacions vinculades a delictes a la xarxa com estafes, blanqueig de capitals, delictes contra la propietat intel·lectual i industrial, suplantacions d'identitat o pornografia infantil, amb la detenció de 383 persones.
Liderava l'organització de ciberdelinqüents des de l'any 2013
L'arrestat dirigia esta organització criminal des d'Espanya creada a finals de l'any 2013 i integrada per tres individus amb els que havia establert contacte a través de fòrums a Internet i amb els quals no mantenia contacte personal algun.
Tot i l'elevadíssim nivell tècnic dels seus integrants, els ciberdelinqüents necessitaven el suport d'altres grups criminals per coordinar el treball de les "mules" encarregades de les extraccions de diners en efectiu dels caixers automàtics que atacaven en diferents països. Fins a l'any 2015 va ser la màfia russa l'encarregada d'esta comesa ia partir de 2016 ho va fer la màfia moldava.
softwares maliciosos
Des de la seua constitució fa cinc anys els cibercriminals van evolucionar el programari maliciós emprat en els seus ciberatacs. Entre 2013 fins a mitjans de 2017, la banda criminal va desenvolupar diversos d'ells, denominats anunak y carberp, Que van canviar quan les empreses de seguretat van desenvolupar mecanismes de detecció. A partir d'ací van decidir desenvolupar una nova eina, anomenada Vaga de cobalt, D'accés remot, que va utilitzar l'organització com a part de les seues ciberatacs. Durant este període, no només van atacar a bancs de Rússia, sinó que van ampliar la seua activitat criminal a altres entitats d'antigues repúbliques soviètiques i fins i tot a Taiwan.
Des de mitjans de l'any 2017 l'organització criminal es va centrar en el desenvolupament d'una nova eina indetectable que tenia majors capacitats i sofisticació. Quan van tindre disponible una versió d'avaluació van provar la seua efectivitat per penetrar en els sistemes d'entitats bancàries d'arreu del món (incloses entitats espanyoles), tenint previst utilitzar-la per les seues ciberatracos de forma imminent. Els investigadors han aconseguit obtindre una mostra d'este nou programari durant l'anàlisi dels dispositius informàtics intervinguts a l'detingut.
Correus infectats amb un codi maliciós
El modus operandi utilitzat des de l'inici de les seues activitats criminals era similar. L'atac començava amb l'enviament massiu de correus electrònics fraudulents suplantant la identitat d'organismes o empreses legítimes i dirigits a una multitud d'adreces de correu electrònic d'empleats d'entitats bancàries de tot el món. Estes correus s'adjuntaven un fitxer, generalment en format .RTF o .DOC, que contenien un codi maliciós que feia possible explotar alguna vulnerabilitat no actualitzada en els sistemes informàtics de les víctimes.
Un cop l'empleat rebia el correu electrònic i obria el fitxer adjunt, i en aquells casos en que la vulnerabilitat no es trobava degudament actualitzada a l'ordinador de l'empleat, s'executava en el seu ordinador un codi maliciós. Este iniciava la descàrrega d'un paquet de programari que permetia, posteriorment, el control remot de la mateixa des de servidors de comandament i control.
Des de l'ordinador infectat de l'empleat intentaven escalar privilegis dins el sistema compromès i es movien lateralment a altres dispositius de la xarxa interna bancària, fins que prenien el control de sistemes crítics de banc (sistema de transaccions o infraestructura de caixers automàtics). Un cop els cibercriminals aconseguien el control, manejaven al seu capritx els caixers automàtics ordenant-los remotament que s'expedissin diners, executaven modificacions de saldo en comptes concretes per a realitzar posteriorment extraccions amb targetes associades, o desviaven transferències de grans quantitats de diners a comptes de l'organització.
Control dels bancs de Rússia
La selecció de les entitats bancàries objectiu es feia en funció de l'interès que presentaven per a l'organització, d'acord a paràmetres de capacitats econòmiques i informàtiques. De la investigació es dedueix que, al llarg de la seua activitat, l'organització va aconseguir prendre el control de la xarxa de la pràctica totalitat dels bancs de Rússia, extraient diners d'uns 50 d'ells, aquells que per les seues característiques i estructura podrien reportar majors beneficis.
L'impacte econòmic ocasionat amb les seues activitats delictives s'estima en més de 1.000 milions de dòlars. Entre els seus objectius figuraven, a més de bancs russos, entitats de Bielorússia, Azerbaidjan, Kazakhstan, Ucraïna i Taiwan. Pel que fa a Espanya, l'organització criminal va atacar caixers de centre de Madrid durant al menys el primer trimestre del l'any 2017. Van realitzar extraccions per un valor de prop de 500.000 euros fent servir targetes associades a comptes corrents amb saldos modificats fraudulentament i pertanyents a bancs de Rússia i Kazakhstan.
Els beneficis eren canviats a bitcoins
Els beneficis de l'activitat il·lícita en forma de grans quantitats de diners en efectiu eren canviats a bitcoins en cases de canvi de Rússia i Ucraïna. els bitcoins eren posteriorment transferits a comptes de el detingut, que va arribar a acumular al voltant de 15.000 bitcoins. El detingut utilitzava plataformes financeres a Gibraltar i el Regne Unit per carregar targetes prepagament amb esta moneda digital que podia utilitzar a Espanya per a la compra de tot tipo de béns i serveis (inclosos vehicles i habitatges). Així mateix, el detingut disposava d'una enorme infraestructura de minat de bitcoins que utilitzaria com a mitjà de blanqueig.
L'altíssim nivell de vida que hauria portat el detingut tant a Ucraïna com a Espanya, juntament amb inversions realitzades en infraestructura cibernètica necessària per executar nous atacs i incrementar els beneficis, al que cal sumar pèrdos milionàries en disputes amb la màfia russa i en plataformes d'intercanvi d'criptodivisa, fa sospitar que el seu patrimoni actual en moneda virtual hauria disminuït considerablement.
