La Policía Nacional de Ucrania anunció una serie de redadas el miércoles que terminaron con el arresto de seis personas que supuestamente formaban parte del grupo detrás del ransomware Clop.
El grupo es responsable de algunos de los ataques de ransomware más destacados de los últimos dos años. Cientos de víctimas van desde Shell y Kroger hasta la Universidad de Stanford, la Universidad de Maryland y la Universidad de Colorado. La policía ucraniana dijo que el daño total causado por sus ataques asciende a unos 500 millones de dólares.
El Departamento de Policía Cibernética de la Policía Nacional de Ucrania publicó un extenso informe el miércoles por la mañana sobre las redadas que incluía fotos y videos. Trabajando con policías de Corea del Sur, miembros de la Interpol y agencias estadounidenses no identificadas, los oficiales en Ucrania allanaron 21 residencias diferentes en Kyiv y pueblos cercanos.
Durante la redada, se incautaron docenas de computadoras y autos caros, además de alrededor de $185,000. El informe dice que se derribó la infraestructura del servidor y se incautaron las casas. Las seis personas arrestadas enfrentan hasta ocho años de prisión por una variedad de delitos relacionados con los ataques de ransomware del grupo y el lavado de dinero obtenido de los rescates.
La Policía Nacional de Ucrania señaló que los funcionarios de Corea del Sur estaban particularmente interesados en la redada debido a los ataques de ransomware lanzados por Clop contra cuatro empresas de Corea del Sur en 2019. Más de 800 servidores internos y computadoras de las empresas se infectaron en los ataques.
El grupo también atacó al gigante surcoreano de comercio electrónico E-Land en noviembre, paralizando a la empresa durante días. Los miembros de Clop se hicieron famosos por atacar a empresas que usaban versiones antiguas del servidor de intercambio de archivos Accellion FTA como Bombardier.
El Banco de la Reserva de Nueva Zelanda, el Auditor del Estado de Washington y la firma de seguridad cibernética Qualys son solo algunas de las víctimas atacadas por los miembros de Clop a través de la vulnerabilidad Accellion.
Kim Bromley, analista senior de inteligencia de amenazas cibernéticas de Digital Shadows, dijo que el ransomware Clop ha estado activo desde febrero de 2019 y generalmente se dirige a grandes organizaciones.
«A pesar de participar en la siempre popular táctica de doble extorsión, el nivel de actividad informado de Clop es relativamente bajo en comparación con ‘REvil’ (también conocido como Sodinokibi) o ‘Conti'», explicó Bromley.
A pesar de la prensa en torno a la redada, muchos en línea señalaron que el sitio de filtración utilizado por los miembros de Clop todavía está arriba. Una fuente de la compañía de ciberseguridad Intel 471 arrojó agua fría sobre el entusiasmo por la redada en una entrevista con Bleeping Computer. Le dijeron al medio de comunicación que no creen que ninguno de los principales actores detrás de Clop haya sido arrestado en la redada porque viven en Rusia. Agregaron que las personas arrestadas estaban involucradas en su mayoría en la parte de lavado de dinero de la operación de ransomware.
Clop saltó a la fama en 2020 después de que exigieran un rescate de más de 20 millones de dólares a Software AG, una de las empresas de software más grandes del mundo. Varias empresas de ciberseguridad informaron que Clop tiene vínculos con un grupo de distribución de malware llamado TA505 y un grupo de ciberdelincuencia conocido como FIN11.
Los grupos de ransomware se enfrentan a un mayor escrutinio por parte de las fuerzas del orden en todo el mundo, ya que cientos de organizaciones continúan lidiando con los devastadores efectos secundarios de los ataques.
Bromley señaló que la semana pasada, el ransomware Avaddon cerró sus operaciones. El ransomware Ziggy hizo lo mismo a principios de este año, lo que indica que la creciente presión policial estaba surtiendo efecto.
«Los arrestos y las operaciones dirigidas a la infraestructura de ransomware deben continuar a corto plazo para mantener la presión sobre los operadores de ransomware», agregó Bromley.
El CTO de Vectra, Oliver Tavakoli, dijo que redadas como esta son una de las palancas clave que se pueden usar para reducir el lucrativo ecosistema de ransomware.
«Cuando aumente la probabilidad de repercusiones, menos personas se involucrarán en el negocio del ransomware», dijo Tavakoli. «Cuando se producen interrupciones periódicas en la cadena de suministro de ransomware y, a veces, se reclaman los rescates (como hizo recientemente el FBI con algunos de los pagos de rescate de Colonial Pipeline), el negocio del ransomware en sí se vuelve menos lucrativo y menos personas se ven involucradas en él».
Otros expertos señalaron el momento de la redada, que se produjo el mismo día de la cumbre entre el presidente estadounidense, Joe Biden, y el presidente ruso, Vladimir Putin. El ransomware fue un tema importante de discusión, Biden dijo después de la reunión.
«Este es un movimiento audaz, especialmente dadas las tensiones de Ucrania con Rusia. Sería mejor ver cómo se afianzan los esfuerzos integrales de aplicación de la ley a nivel mundial», dijo Hitesh Sheth, director ejecutivo de Vectra. “La seguridad cibernética ha desplazado a las armas nucleares como el principal problema de seguridad de las superpotencias de nuestra era. Podemos esperar que la cumbre Biden-Putin conduzca a la cooperación y al progreso estructural en esta área”.
