Una vez más, los miembros principales de un grupo de ransomware fueron capturados: los jefes del grupo APT DoppelPaymer fueron capturados en Ucrania y Alemania gracias a la cooperación de la policía, Europol, el FBI y muchas otras autoridades. El grupo se hizo conocido a través del ataque al Hospital Universitario de Düsseldorf.
Ya el 28 de febrero de 2023, la Oficina de Policía Criminal del Estado alemán de Renania del Norte-Westfalia y la Policía Nacional de Ucrania, con el apoyo de Europol, la policía holandesa (Politie) y la Oficina Federal de Investigaciones de los Estados Unidos, atacaron a presuntos miembros clave de el grupo criminal responsable de los ataques cibernéticos a gran escala responsables del ransomware DoppelPaymer.
Doppel Palmer también atacó hospitales
El ransomware surgió en 2019 cuando los ciberdelincuentes comenzaron a lanzar ataques contra organizaciones e infraestructuras e industrias críticas. Basado en el ransomware BitPaymer y parte de la familia de malware Dridex, DoppelPaymer utilizó una herramienta única capaz de comprometer los mecanismos de defensa al terminar el proceso relacionado con la seguridad de los sistemas atacados. Los ataques de DoppelPaymer también fueron posibles gracias a Emotet.
El ransomware se distribuyó a través de varios canales, incluidos correos electrónicos de phishing y spam con documentos adjuntos que contenían código malicioso, ya sea JavaScript o VBScript. El grupo criminal detrás de este ransomware se basó en un esquema de doble ransomware y utilizó un sitio web de fugas lanzado por los actores criminales a principios de 2020. Las autoridades alemanas tienen conocimiento de 37 víctimas de este grupo de ransomware, todas ellas empresas. Uno de los ataques más graves se perpetró contra el Hospital Universitario de Düsseldorf. En EEUU, las víctimas pagaron al menos 2019 millones de euros entre mayo de 2021 y marzo de 40.
Decenas de millones en botín
Durante las acciones simultáneas, los oficiales alemanes registraron la casa de un ciudadano alemán que se cree que jugó un papel importante en el grupo de ransomware DoppelPaymer. Los investigadores están analizando actualmente los dispositivos confiscados para determinar el papel exacto del sospechoso en la estructura del grupo de ransomware. Al mismo tiempo, y a pesar de la situación de seguridad extremadamente difícil en la que se encuentra actualmente Ucrania debido a la invasión rusa, los agentes de policía ucranianos interrogaron a un ciudadano ucraniano que también se sospecha que es miembro del grupo central DoppelPaymer. Los funcionarios ucranianos registraron dos lugares, uno en Kiev y otro en Kharkiv. Durante los allanamientos decomisaron aparatos electrónicos que actualmente están siendo examinados forensemente.
Desde el comienzo de la investigación, Europol facilitó el intercambio de información, coordinó la cooperación policial internacional y apoyó las actividades operativas. Europol también brindó apoyo analítico al vincular los datos disponibles con varios casos penales dentro y fuera de la UE, y ayudó en las investigaciones con criptomonedas, malware, descifrado y análisis forense.
Rojo./sel.
Más en Europol.com