La banda utilizaba piezas de malware conocidas como Carbanak y Cobalt
El jefe de una banda de criminales detrás de los ataques de malware Carbanak y Cobalt que apuntaron a más de 100 instituciones financieras en todo el mundo ha sido arrestado en Alicante, España, después de una compleja investigación llevada a cabo por la Policía Nacional española, con el apoyo de Europol, el FBI de los EE. UU., las autoridades rumanas, bielorrusas y taiwanesas y compañías privadas de ciberseguridad.
El ucraniano Denis K. es el cerebro de una red con dos patas: la técnica - él y otros dos ucranianos y un ruso, también detenidos, dedicados a distribuir virus para infectar ordenadores de bancos- y la operativa, integrada por 'mulas' que la mafia enviaba a los cajeros automáticos a llevarse el dinero.
Desde 2013 la banda de cibercriminales ha intentado atacar a los bancos, los sistemas de pago electrónico y las instituciones financieras utilizando piezas de malware que diseñaron, conocidas como Carbanak y Cobalt.
La operación criminal ha golpeado a los bancos en más de 40 países y ha resultado en pérdidas acumuladas de más de 1 billón de euros para la industria financiera. La magnitud de las pérdidas es significativa: solo el malware Cobalt permitió a los delincuentes robar hasta 10 millones de euros por robo.
Modus operandi
El grupo de delincuencia organizada comenzó sus actividades delictivas de alta tecnología a fines de 2013 con el lanzamiento de la campaña de malware Anunak que se enfocaba en transferencias financieras y redes de cajeros automáticos de instituciones financieras de todo el mundo. Para el año siguiente, los mismos codificadores mejoraron el malware Anunak en una versión más sofisticada, conocida como Carbanak, que se usó hasta 2016. A partir de ese momento, el sindicato del crimen centró sus esfuerzos en desarrollar una ola de ataques aún más sofisticada mediante el uso de malware a medida basado en el software de prueba de penetración Cobalt Strike.
En todos estos ataques se usó un modus operandi similar. Los delincuentes enviaban a los empleados del banco correos electrónicos de phishing con un archivo adjunto malicioso personificando compañías legítimas. Una vez descargado, el software malicioso permitía a los delincuentes controlar remotamente las máquinas infectadas de las víctimas, dándoles acceso a la red bancaria interna e infectando los servidores que controlan los cajeros automáticos. Esto les proporcionó el conocimiento que necesitaban para retirar el dinero.
Cobrar
El dinero fue cobrado por uno de los siguientes medios:
• Se instruyó a los cajeros automáticos de forma remota para que distribuyan efectivo en un momento predeterminado, y el dinero era recaudado por los grupos de crimen organizado que apoyaban al principal sindicato delictivo. Cuando vencía el pago, uno de los miembros de la banda estaba esperando al lado de la máquina para recoger el dinero que 'voluntariamente' escupía el cajero.
• La red de pago electrónico se utilizó para transferir dinero de las organizaciones a cuentas criminales.
• Se modificaron las bases de datos con información de las cuentas para incrementar el saldo de las cuentas bancarias, y luego se usaron "mulas de dinero" para recolectar el efectivo.
También se lavaron a través de criptomonedas las ganancias delictivas, mediante tarjetas prepagadas vinculadas a las billeteras de criptomonedas que se usaban para comprar bienes como autos y casas de lujo.
Cooperación policial internacional
La cooperación policial internacional coordinada por Europol y el Grupo de Acción Conjunta contra la Delincuencia Cibernética de la policia española fue fundamental para llevar a los ciberdelincuentes ante la justicia, con el cerebro, los codificadores, las redes de mulas, los lavadores de dinero y las víctimas, todos ubicados en diferentes ubicaciones geográficas en todo el mundo.
El Centro Europeo de Ciberdelincuencia (EC3) de Europol facilitó el intercambio de información, organizó reuniones operativas, proporcionó apoyo en análisis forense y malware digital y desplegó expertos sobre el terreno en España durante el día de la detención.
La estrecha asociación público-privada con la Federación Bancaria Europea (EBF), la industria bancaria en su conjunto y las empresas de seguridad privada también fue primordial en el éxito de esta compleja investigación.
Wim Mijs, Director Ejecutivo de la Federación Bancaria Europea, dijo: "Esta es la primera vez que la EBF coopera activamente con Europol en una investigación específica. Va más allá de la sensibilización sobre ciberseguridad y demuestra el valor de nuestra asociación con los especialistas en ciberdelincuencia de Europol. La cooperación público-privada es esencial cuando se trata de combatir de manera efectiva los crímenes transfronterizos digitales como el que estamos viendo aquí con la banda de Carbanak".
Steven Wilson, Jefe del Centro Europeo de Cibercrimen de Europol (EC3), dijo: "Esta operación global es un éxito significativo para la cooperación policial internacional contra una organización cibercriminal de alto nivel. El arresto de la figura clave en este grupo criminal ilustra que los ciberdelincuentes ya no pueden ocultarse detrás del anonimato internacional. Este es otro ejemplo en el que la estrecha cooperación entre los organismos encargados de hacer cumplir la ley a escala mundial y los socios del sector privado de confianza está teniendo un gran impacto en el cibercriminalismo de alto nivel".
