Denis K, de nacionalidad ucraniana, es el “cerebro” de un grupo de cibercriminales que tomaba el control de los sistemas informáticos de entidades bancarias de modo que podían vaciar los cajeros de forma remota, modificar cuentas destinatarias en transferencias de alto valor o alterar los saldos de cuentas controladas por ellos. Los beneficios obtenidos con cada ataque, que superaban el millón y medio de dólares de media, eran convertidos inmediatamente en criptomonedas con el fin de facilitar su movimiento en una red internacional de blanqueo de capitales. Infectaban los ordenadores de empleados del banco con un software malicioso para escalar privilegios dentro del sistema comprometido y moverse lateralmente a otros dispositivos de la red interna bancaria, hasta que tomaban el control de sistemas críticos del banco
Madrid.- Agentes de la Policía Nacional, en un operativo coordinado por EUROPOL y la Fiscalía Especializada de Criminalidad Informática, han detenido en Alicante al “cerebro” de una organización presuntamente responsable de centenares de ciberatracos a entidades bancarias de todo el mundo cometidos desde España mediante sofisticados ataques informáticos y que sustrajo “más de 1.000 millones de dólares”.
El arrestado, Denis K., de nacionalidad ucraniana, junto con otros tres miembros de la organización, de nacionalidades rusa y ucraniana, infectaban con un software malicioso los sistemas informáticos de entidades bancarias, principalmente rusas, pero también de Bielorrusia, Azerbaiyán, Kazajistán, Ucrania y Taiwan, tomando el control de los sistemas críticos que les permitía vaciar cajeros de forma remota, alterar saldos o modificar cuentas
En el caso de España, la organización criminal atacó durante el primer trimestre de 2017 cajeros situados en el centro de Madrid realizando extracciones fraudulentas por un valor de medio millón de euros. “Estamos ante una de las operaciones más importantes de la Unidad Central de Ciberdelincuencia de la Policía Nacional por la transcendencia internacional del cibercriminal detenido”, subrayó el ministro del Interior, Juan Ignacio Zoido, durante una comparecencia pública para informar de este “complicadísimo trabajo de investigación”.
1,5 millones de dólares de media en cada operación
Desde que comenzaron a operar en el año 2013 este grupo de delincuentes logró acceder a prácticamente todos los bancos de Rusia. Los beneficios obtenidos con cada ataque, que superaban el millón y medio de dólares de media, eran convertidos inmediatamente en criptomonedas con el fin de facilitar su movimiento en una red internacional de blanqueo de capitales.
En el registro realizado en el domicilio del detenido se han intervenido equipos informáticos, joyas valoradas en 500.000 euros, diversa documentación y dos vehículos de alta gama, entre otros efectos. Además se han bloqueado cuentas bancarias y dos viviendas valoradas en cerca de 1.000.000 de euros.
La investigación iniciada a principios de 2015 ha resultado especialmente compleja al tener que conjugar técnicas de investigación tradicionales contra el crimen organizado y novedosos métodos para la búsqueda de indicios probatorios en infraestructuras cibernéticas y el uso de criptomonedas. Los investigadores españoles han contado con el apoyo operativo del FBI y de Interpol.
La Unidad de Ciberdelincuencia, prestigiosa en el mundo
El ministro del Interior, Juan Ignacio Zoido, ha resaltado la importancia de esta operación, “una de las más importantes de la Unidad de Ciberdelincuencia de la Policía Nacional”, por la transcendencia internacional del cibercriminal detenido. “Quiero que sepan—dijo en la rueda de prensa en la que se detalló la operación policial—que contamos con una de las unidades de Ciberdelincuencia más prestigiosas del mundo”.
Zoido recordó que esta Unidad ha trabajado durante 2017 en más de 500 investigaciones vinculadas a delitos en la red como estafas, blanqueo de capitales, delitos contra la propiedad intelectual e industrial, suplantaciones de identidad o pornografía infantil, con la detención de 383 personas.
Lideraba la organización de ciberdelincuentes desde el año 2013
El arrestado dirigía esta organización criminal desde España creada a finales del año 2013 e integrada por otros tres individuos con los que había establecido contacto a través de foros en Internet y con los que no mantenía contacto personal alguno.
A pesar del elevadísimo nivel técnico de sus integrantes, los ciberdelincuentes necesitaban el apoyo de otros grupos criminales para coordinar el trabajo de las “mulas” encargadas de las extracciones de dinero en efectivo de los cajeros automáticos que atacaban en diferentes países. Hasta el año 2015 fue la mafia rusa la encargada de este cometido y a partir de 2016 lo hizo la mafia moldava.
Softwares maliciosos
Desde su constitución hace cinco años los cibercriminales evolucionaron el software malicioso empleado en sus ciberataques. Entre 2013 hasta mediados de 2017, la banda criminal desarrolló varios de ellos, denominados anunak y carberp, que cambiaron cuando las empresas de seguridad desarrollaron mecanismos de detección. A partir de ahí decidieron desarrollar una nueva herramienta, denominada Cobalt Strike, de acceso remoto, que utilizó la organización como parte de sus ciberataques. Durante este periodo, no sólo atacaron a bancos de Rusia, sino que ampliaron su actividad criminal a otras entidades de antiguas repúblicas soviéticas e incluso a Taiwán.
Desde mediados del año 2017 la organización criminal se centró en el desarrollo de una nueva herramienta indetectable que tenía mayores capacidades y sofisticación. Cuando tuvieron disponible una versión de evaluación probaron su efectividad para penetrar en los sistemas de entidades bancarias de todo el mundo (incluidas entidades españolas), teniendo previsto utilizarla para sus ciberatracos de forma inminente. Los investigadores han logrado obtener una muestra de este nuevo software durante el análisis de los dispositivos informáticos intervenidos al detenido.
Correos infectados con un código malicioso
El modus operandi utilizado desde el inicio de sus actividades criminales era similar. El ataque comenzaba con el envío masivo de correos electrónicos fraudulentos suplantando la identidad de organismos o empresas legítimas y dirigidos a una multitud de direcciones de correo electrónico de empleados de entidades bancarias de todo el mundo. Estos correos adjuntaban un fichero, generalmente en formato .RTF o .DOC, que contenían un código malicioso que hacía posible explotar alguna vulnerabilidad no actualizada en los sistemas informáticos de las víctimas.
Una vez el empleado recibía el correo electrónico y abría el fichero adjunto, y en aquellos casos en los que la vulnerabilidad no se encontraba debidamente actualizada en el ordenador del empleado, se ejecutaba en su ordenador un código malicioso. Este iniciaba la descarga de un paquete del software que permitía, posteriormente, el control remoto del mismo desde servidores de comando y control.
Desde el ordenador infectado del empleado intentaban escalar privilegios dentro del sistema comprometido y se movían lateralmente a otros dispositivos de la red interna bancaria, hasta que tomaban el control de sistemas críticos del banco (sistema de transacciones o infraestructura de cajeros automáticos). Una vez los cibercriminales conseguían el control, manejaban a su antojo los cajeros automáticos ordenándoles remotamente que expidieran dinero, ejecutaban modificaciones de saldo en cuentas concretas para realizar posteriormente extracciones con tarjetas asociadas, o desviaban transferencias de grandes cantidades de dinero a cuentas de la organización.
Control de los bancos de Rusia
La selección de las entidades bancarias objetivo se hacía en función del interés que presentaban para la organización, de acuerdo a parámetros de capacidades económicas e informáticas. De la investigación se deduce que, a lo largo de su actividad, la organización consiguió tomar el control de la red de la práctica totalidad de los bancos de Rusia, extrayendo dinero de unos 50 de ellos, aquellos que por sus características y estructura podrían reportarles mayores beneficios.
El impacto económico ocasionado con sus actividades delictivas se estima en más de 1.000 millones de dólares. Entre sus objetivos figuraban, además de bancos rusos, entidades de Bielorrusia, Azerbaiyán, Kazajistán, Ucrania y Taiwán. En lo referido a España, la organización criminal atacó cajeros del centro de Madrid durante al menos el primer trimestre del año 2017. Realizaron extracciones por un valor de alrededor de 500.000 euros usando tarjetas asociadas a cuentas corrientes con saldos modificados fraudulentamente y pertenecientes a bancos de Rusia y Kazajistán.
Los beneficios eran cambiados a bitcoins
Los beneficios de la actividad ilícita en forma de grandes cantidades de dinero en efectivo eran cambiados a bitcoins en casas de cambio de Rusia y Ucrania. Los bitcoins eran posteriormente transferidos a cuentas del detenido, que llegó a acumular alrededor de 15.000 bitcoins. El detenido utilizaba plataformas financieras en Gibraltar y Reino Unido para cargar tarjetas prepago con esta criptomoneda que podía utilizar en España para la compra de todo tipo de bienes y servicios (incluidos vehículos y viviendas). Asimismo, el detenido disponía de una enorme infraestructura de minado de bitcoins que utilizaría como medio de blanqueo.
El altísimo nivel de vida que habría llevado el detenido tanto en Ucrania como en España, junto con inversiones realizadas en infraestructura cibernética necesaria para ejecutar nuevos ataques e incrementar los beneficios, a lo que hay que sumar pérdidas millonarias en disputas con la mafia rusa y en plataformas de intercambio de criptodivisa, hace sospechar que su patrimonio actual en moneda virtual habría disminuido considerablemente.