Recientemente fue reportado en España el arresto de un grupo de ciberdelincuentes de nacionalidades ruso-ucranianas. Estos fueron responsables de robar más de mil millones de dólares que luego cambiaron a criptomonedas para cubrir sus rastros, desde el 2013.
El arresto fue posible gracias a la acción conjunta de la Policía Nacional española, la Europol y el FBI, ya que las operaciones de estos delincuentes se extendían en entidades financieras en más de 40 países. En el operativo fueron detenidos el líder de esta banda, conocido como “Denis K.”, y otros tres miembros de la organización.
Al parecer, los integrantes del grupo delictivo fueron los autores del malware Carbanak e hicieron uso de Cobalt Strike. Carbanak fue una versión más avanzada del malware Anunak, desarrollado en el 2013 con el fin de atacar las transferencias financieras y robar directamente a redes de cajeros automáticos (ATM) hasta el año 2016. Posteriormente, fue desarrollada una solución más sofisticada para realizar las operaciones con el malware Cobalt, capaz de robar una cantidad de 10 millones de euros por cada operación, las cuales estabas destinadas a atacar bancos y sistema de pago electrónico.
El malware era difundido a través de correos electrónicos que contenían el software malicioso, el cual era abierto por los empleados de las entidades financieras y posteriormente se propagaba por el sistema bancario afectado. Una vez el sistema se encontraba comprometido, los ciberdelincuentes tomaban el control de las transacciones y la infraestructura de los cajeros automáticos para ordenar, de manera remota, la expedición de dinero; así como modificar el saldo en cuentas determinadas o desviar transferencias con significativas cantidades de dinero a cuentas vinculadas con la banda criminal.
Según fuentes oficiales, Denis K. y su banda hacían uso de casas de cambio de Rusia y Ucrania para convertir el dinero en efectivo en criptomonedas, específicamente bitcoin. Presuntamente, la cantidad de criptomonedas poseída por este delincuente ascendía a 15 mil bitcoins, los cuales eran cargados en tarjetas prepago de Gibraltar y Reino Unido para la compra de todo tipo de bienes y servicios.
En España, durante el primer trimestre del 2017, la organización atacó cajeros en Madrid para extraer alrededor de 500 mil euros con tarjetas vinculadas a cuentas corrientes de Rusia y Kazajistán, siendo, además de este país, su principal objetivo Bielorrusia, Azerbaiyán, Ucrania y Taiwán.
En un video difundido por la policía puede apreciarse cómo la banda criminal poseía grandes instalaciones con un elevado número de equipos para la minería de criptomonedas. De igual manera, fueron incautadas drogas, joyas valoradas por 500 mil euros y dos vehículos en la vivienda donde fueron detenidos.
La Europol ha realizado este tipo de operaciones con anterioridad. En el mes de diciembre del año pasado fueron detenidos varios sospechosos acusados de propagar un ransomware y afectar miles de dispositivos en Europa, Estados Unidos y Canadá a cambio de bitcoins como recompensa. En dicho caso, la policía recibió un aproximado de 170 denuncias relacionadas con la organización.
