Durante la última semana, las autoridades rumanas han arrestado a tres personas sospechosas de infectar sistemas informáticos mediante la difusión del ransomware CTB-Locker (Curve-Tor-Bitcoin Locker). Otros dos sospechosos del mismo grupo criminal fueron arrestados en Bucarest en una investigación sobre el mismo ransomware llevada a cabo por los Estados Unidos.
CTB-Locker se detectó por primera vez en 2014 y fue una de las primeras variantes de ransomware en utilizar la red Tor para ocultar su infraestructura de comando y control. Se dirige a casi todas las versiones de Windows, incluidos XP, Vista, 7 y 8. Una vez infectado, todos los documentos, fotos, música, videos, etc. en el dispositivo se cifran de forma asimétrica, lo que hace que sea muy difícil descifrar los archivos sin la llave que se encuentra en en posesión de los ciberdelincuentes.
A principios de 2017, las autoridades rumanas recibieron información detallada de la Unidad Holandesa de Delitos contra la Tecnología y de otras autoridades que indicaban que un grupo de ciudadanos rumanos estaba involucrado en el envío de mensajes no deseados.
Este spam se había redactado específicamente para que pareciera enviado por empresas conocidas de países como Italia, los Países Bajos y el Reino Unido. La intención de estos mensajes era infectar los sistemas informáticos y cifrar sus datos con el ransomware CTB-Locker también conocido como Critroni. Cada correo electrónico tenía un archivo adjunto, a menudo en forma de una factura archivada, que contenía un archivo malicioso. Una vez que se abría este archivo adjunto en un sistema de Windows, el malware se encargaba de infectar el dispositivo y cifrar todos los archivos.
Además de la propagación de CTB-Locker, dos personas dentro del mismo grupo criminal rumano también eran sospechosas de distribuir el ransomware Cerber, contaminando una gran cantidad de sistemas informáticos en los Estados Unidos.
Por ello, se puso en marcha la operación denominada “Bakovia“, en la que han participado conjuntamente la Policía Rumana (Servicio de Lucha contra el Delito Cibernético), la fiscalía rumana y holandesa, la Policía Nacional Holandesa (NHTCU ), la Agencia Nacional del Crimen del Reino Unido, el FBI de EE. UU. con el apoyo del Centro Europeo de Ciberdelincuencia (EC3) de Europol y el Equipo de Acción Conjunta contra el Delito Cibernético (J-CAT).
Inicialmente, la investigación CTB-Locker fue separada de la investigación sobre Cerber. Sin embargo, las dos se unieron cuando resultó que el mismo grupo de ciberdelincuentes rumanos estaba detrás de estos dos ataques.
Los cinco detenidos serán procesados por acceso no autorizado a los ordenadores, obstaculización grave de un sistema informático, uso indebido de dispositivos con la finalidad de cometer delitos cibernéticos y extorsión. Además, hasta la fecha se han identificado más de 170 víctimas de varios países europeos que presentaron denuncias y aportaron pruebas que ayudarán con el enjuiciamiento de los sospechosos.
A continuación os dejamos el vídeo que ha colgado Europol en su canal de Youtube, en que se ve como se lleva a cabo la detención de los sospechosos: