El grupo FIN6 causó daños de varios cientos de millones de francos suizos con ataques de ransomware. Ahora los investigadores han logrado un gran avance.
Los ciberataques criminales a empresas con el llamado ransomware se han incrementado en los últimos años.
Después de meses de trabajo, los investigadores de Zurich lograron un gran avance: pudieron descifrar numerosas claves privadas en los soportes de datos incautados a un presunto delincuente cibernético.
Las claves privadas son algo así como el premio mayor para los fiscales. Esto brinda a las empresas dañadas por ataques cibernéticos la oportunidad de restaurar sus datos encriptados por el llamado ransomware, como afirman la fiscalía de Zúrich y la policía cantonal de Zúrich en un comunicado conjunto.
El ransomware es malware que los delincuentes utilizan para chantajear. Este tipo de ciberdelincuencia ha aumentado significativamente en los últimos años. Las pandillas penetran en los sistemas informáticos de sus víctimas y encriptan los datos para que las computadoras ya no funcionen. Luego exigen un rescate por el descifrado. Los ciberdelincuentes suelen copiar los datos de antemano para amenazar aún más a las víctimas con la publicación de la información robada.
El camino lleva a Ucrania
Las investigaciones de los fiscales de Zúrich van en uno huelga coordinada internacionalmente contra el cibercrimen organizado allá por octubre del año pasado. Ucrania, Francia, Noruega, los Países Bajos y los EE. UU. participaron en la acción policial.
Hubo 12 arrestos: 11 de ellos tuvieron lugar en Ucrania, 1 en Suiza. Un video publicado por las autoridades ucranianas en ese momento muestra a miembros de una unidad especial asaltando un apartamento y confiscando dinero en efectivo, vehículos, soportes de datos, teléfonos móviles y equipos técnicos.
A fines de octubre del año pasado, se realizaron once arrestos en Ucrania como parte de una operación policial coordinada en la que también participaron investigadores suizos.
El 26 de octubre de 2021, un martes por la mañana, vehículos policiales también se dirigieron al apartamento de un sospechoso en Binningen, en el área de Basilea. Los investigadores arrestaron al hombre debido a una solicitud de asistencia legal de Francia. También se confiscaron ordenadores, memorias USB, teléfonos móviles y dinero en efectivo en distintas monedas. Sin embargo, los fiscales guardan silencio sobre la nacionalidad y la edad del hombre. Se dice que trabajó como desarrollador de software para una empresa internacional, informan los diarios de CH-Media más tarde.
Se dice que el sospechoso era miembro de un grupo de ciberdelincuentes procesados internacionalmente bajo la designación FIN6. El grupo está acusado de numerosos ataques de ransomware con un total de hasta 1800 víctimas en 71 países. Se dice que los perpetradores causaron daños por un total de varios cientos de millones de francos.
Según Europol, la mayoría de los pandilleros arrestados son personas importantes en la organización criminal. Tenían diferentes roles dentro de la pandilla bien organizada: algunos eran responsables de ingresar a las redes informáticas, otros llevaban a cabo la extorsión real y otros se encargaban de lavar el dinero del rescate robado en bitcoin.
La banda criminal usó varios programas maliciosos para sus ataques, en particular un programa de cifrado llamado «LockerGoga» desde principios de 2019. Las víctimas más destacadas en ese momento fueron el grupo tecnológico francés Altran y el fabricante de aluminio noruego Norsk Hydro. Estos casos también desencadenaron las extensas investigaciones coordinadas por Europol.
Después del arresto en Binningen, la oficina del fiscal en Basel-Landschaft abrió procedimientos contra el sospechoso por lavado de dinero y corrupción de datos, paralelos a los procedimientos en Francia. Estas alegaciones indican que el acusado estuvo involucrado en los ataques y en el cifrado de los datos. Por otro lado, también puede haber jugado un papel en la transferencia de rescates, que generalmente se pagan en criptomonedas.
Mientras tanto, los investigadores cibernéticos de Zúrich se han hecho cargo del caso de Binningen, debido a la jurisdicción, como dijo el fiscal de Zúrich cuando se le preguntó.
Las empresas atacadas deben presentar cargos penales
La seguridad de las claves privadas da esperanza a las empresas afectadas por los ataques. Porque las autoridades ahora han activado una herramienta en el sitio web «nomoreransom.org», que tiene como objetivo hacer que los datos cifrados con «LockerGoga» sean recuperables. Una herramienta correspondiente a «MegaCortex», otra pieza de malware, pronto estará disponible, según las autoridades de Zúrich. No se sabe cuántas víctimas ya se han beneficiado del programa de descifrado. No hay información al respecto, según Zurich.
La herramienta fue creada en cooperación con Europol, la empresa Bitdefender y el proyecto «No More Ransom». La iniciativa «No More Ransom» surgió hace unos seis años como una cooperación entre Europol, la policía holandesa y empresas privadas de TI. Quiere ofrecer a las víctimas programas de descifrado gratuitos. El sitio web ahora tiene herramientas para más de 160 variantes diferentes de ransomware.
Las autoridades piden a las víctimas que han sido atacadas por los dos programas de malware que presenten cargos penales en sus respectivos países de origen. También recomiendan encarecidamente elevar los estándares de seguridad.