Una operación internacional ha resultado en el arresto de 5 personas acusadas de difundir los programas chantajistas CTB Locker y Cerber.
Las personas arrestadas no son los creadores de los programas chantajistas, sino que se dedicaban a distribuirlos: alquilaban las familias de ransomware de mercados negros virtuales que ofrecían sus servicios. Los atacantes empaquetaban los códigos de los programas maliciosos en archivos comprimidos que distribuían como si fuesen mensajes de voz adjuntos a correos electrónicos basura que enviaban de forma masiva.
El grupo de distribuidores se quedaba con el 70% de las ganancias generadas por los programas maliciosos, mientras que el 30% restante era destinado a la comisión que ganaba el sitio que alquiló el ransomware como servicio a los criminales.
Se cree que las personas arrestadas son responsables de oleadas de mensajes spam que distribuyeron los infames programas Cerber y Curve-Tor-Bitcoin Locker, también conocido como CTB-Locker o Citroni. CTB Locker se hizo conocido por ser una de las primeras familias de ransomware que empleaba la red Tor para esconder su infraestructura de comando y control.
Los sospechosos fueron detenidos en Rumania por la Dirección para la Investigación del Crímen Organizado y Terrorismo (DIICOT) del país. Las autoridades rumanas actuaron de inmediato para dar una resolución a las investigaciones desarrolladas por la Interpol, el FBI y la Policía Nacional Holandesa, que habían rastreado a los criminales y descubierto que se encontraban en su país. Los procesos también contaron con la participación y el apoyo de la Oficina de la Fiscalía de Rumania y Holanda, la Agencia Nacional contra el Crimen del Reino Unido, el Centro Europeo para el Cibercrimen (EC3) de la Europol y la Fuerza Conjunta de Acción contra el Cibercrimen (J-CAT).
Los investigadores descubrieron primero a tres de los sospechosos, distribuidores de CTB Locker, e hicieron los trámites correspondientes para arrestarlos en Rumania. Pero durante estos arrestos se dieron cuenta de que los mismos cibercriminales también participaban en la distribución de otra familia de ransomware, Cerber, que también tenía víctimas en diferentes lugares del mundo, incluyendo Europa y Norteamérica. Esto hizo que ambas investigaciones, la de CTB Locker y la de Cerber, se combinaran.
Los arrestos de CTB Locker ayudaron a los investigadores a identificar a otros dos sospechosos vinculados a la distribución de Cerber. Este segundo grupo de personas estaba en la mira de los investigadores en una investigación diferente, pero hasta entonces no se había podido descubrir su identidad. Esto permitió que las autoridades estadounidenses iniciaran un proceso internacional para detener a los dos nuevos sospechosos al día siguiente mientras intentaban huir del país.
Durante los arrestos, las autoridades rumanas confiscaron “una cantidad significativa” de discos duros, ordenadores portátiles, discos de memoria externa, dispositivos para minería de monedas criptográficas y otros documentos que podrían ser clave a la hora e demostrar la culpabilidad o inocencia de las personas detenidas.
Fuentes
Romanian Police Arrest 5 People for Spreading CTB Locker and Cerber Ransomware The Hacker News
FIVE ARRESTED FOR SPREADING RANSOMWARE THROUGHOUT EUROPE AND US Europol
Five Romanians Arrested for Spreading CTB-Locker and Cerber Ransomware Bleeping Computer
Arrestan a cinco supuestos distribuidores de ransomware CTB Locker y Cerber en una operación internacional