Detenido en España el mayor ciber ladrón de bancos del mundo, que convertía a criptomonedas lo robado

Detener a alguien que atraca físicamente un banco es relativamente más sencillo que detener a alguien que lo hace a distancia. Físicamente se puede identificar su cara, pueden dejar restos de ADN o huellas, o incluso es posible llegar y detenerlo antes de que escape. Por suerte, la Policía y la Europol han conseguido detener al mayor ladrón online del mundo.

Banda de atracadores que operaban con criptomonedas

Este atracador era el jefe de una banda que operaba desde España, y ha sido detenido en Alicante por ser responsable de cientos de ciberatracos a bancos de todo el mundo. Su nombre es Denis K., y es procedente de Ucrania. El resto de la banda contaba con miembros procedentes de Ucrania, así como también de Rusia, y operaban entre sí a distancia sin contacto personal alguno.

Sus principales objetivos eran bancos de países como Bielorrusia, Azerbaiyán, Kazajistán, Ucrania y Taiwan. Para robar el dinero buscaban tomar el control de sistemas clave que les permitieran vaciar cajeros de manera remota, así como alterar saldos o modificar cuentas. Para no dejar rastro, convertían rápidamente sus ganancias en criptomonedas para borrar el rastro y poder pasarlo por una red internacional de blanqueo de capitales.

La banda empezó a operar en 2013 y atacó su primera entidad española en el primer trimestre de 2017, afectando a cajeros del centro de Madrid de los que consiguieron obtener en torno a 500.000 euros. La media de dinero que obtenían en cada operación era de 1,5 millones de dólares. Desde sus comienzos han conseguido acceso a prácticamente todos los bancos de Rusia.

La investigación comenzó en 2015, y ha sido particularmente compleja por la forma de operar de la red, así como lo difícil de seguirle el rastro a las criptomonedas en la red y el uso de una compleja estructura cibernética. Esto ha obligado a compatibilizar el uso de técnicas tradicionales con otras más modernas (estas últimas con ayuda del FBI y la Interpol). La operativa de la banda era tan compleja que requerían el uso de “mulas” que sacaran el dinero de los cajeros automáticos que hackeados. Hasta 2015 lo hacía la mafia rusa, mientras que a partir de 2016 lo hizo la moldava.

En la operación se han incautado equipos informáticos, joyas con un valor de 500.000 euros y dos vehículos de alta gama. Se han bloqueado sus cuentas bancarias y dos viviendas que tenía en propiedad valoradas en 1 millón de euros. El detenido llegó a acumular hasta 15.000 bitcoins en sus cuentas (unos 120 millones de euros a su valor actual), y que posteriormente usaba para cargar tarjetas de prepago con criptomonedas que usaba en España para comprar bienes y servicios.

Mecanismo de infección: phishing por email

El mecanismo de infección utilizado era el phishing. Los atacantes se hacían pasar por organismos o entidades legítimas y enviaban emails de manera masiva a empleados de entidades bancarias de todo el mundo, disimulando el malware en archivos .RTF y .DOC adjuntos.

Este malware se aprovechaba de vulnerabilidades no parcheadas, y una vez se ejecutaba se descargaba malware más malicioso y que permitía controlar ordenadores de manera remota, buscando también escalar privilegios. Una vez tomaban el control de partes críticas del sistema interbancario, como el sistema de transacciones o la sección de control de los cajeros, realizaban transferencias a cuentas de la organización o modificaban saldos.

El software utilizado, llamado anunak y carberp, fue cambiado en cuanto las empresas de seguridad los detectaron y desarrollaron medidas para su detección y eliminación. A partir de 2017 crearon una herramienta indetectable y más sofisticada que ya habían probado y que iban a empezar a usar de manera inmediata. Este software ha sido intervenido en la operación.

Fuente: Policia | adslzone