Detenidos en Alemania y Ucrania los supuestos autores del ransomware DoppelPaymer

Publicado el 9 de mayo de 2024, 1:11

Detenidos en Alemania y Ucrania los supuestos autores del ransomware DoppelPaymer

Seguro que has oído hablar de la familia de ransomware conocida como DoppelPaymer, aunque solo sea porque el propio nombre recuerda la técnica de chantaje de doble cañón utilizada por muchas bandas de ransomware actuales.

Para aumentar la presión para que pagues, los llamados extorsionadores dobles no solo cifran todos tus archivos de datos para que tu negocio deje de funcionar, sino que también roban copias de esos archivos para utilizarlas como palanca adicional.

La idea es que si pagas por la clave de descifrado para desbloquear tus archivos y volver a poner en marcha tu negocio, los atacantes accederán muy generosamente a borrar también los archivos que han robado (o eso dicen), en lugar de filtrarlos a los medios de comunicación, revelarlos al regulador o venderlos a otros ciberdelincuentes.

Dicho crudamente, los chantajistas te están invitando a pagar tanto por una acción positiva (entregar las claves de descifrado), como por una negativa (no filtrar los datos robados).

Además, de forma bastante obvia, los estafadores esperan que, aunque tengas copias de seguridad fiables y puedas volver a poner en marcha tu negocio por tu cuenta, sin pagar por las claves de descifrado, podrán chantajearte para que les entregues el dinero de sus amenazas, prometiéndote que mantendrán la boca cerrada sobre el hecho de que has sufrido una violación de datos.

Normalmente, los atacantes de doble extorsión roban tus archivos en su forma no cifrada antes de descifrarlos. Pero también podrían robarlos durante o después del proceso de descifrado, dado que ya conocen las claves de descifrado.

Señalar y humillar

DoppelPaymer, junto con muchos otros ciberdelincuentes de este tipo, dirigía su propio sitio web de “señalar y humillar”, como se apunta en un reciente comunicado de prensa de Europol:

El grupo criminal detrás de este ransomware se basaba en un doble esquema de extorsión, utilizando un sitio web de filtraciones lanzado por los actores criminales a principios de 2020. Las autoridades alemanas tienen constancia de 37 víctimas de este grupo de ransomware, todas ellas empresas. Uno de los ataques más graves se perpetró contra el Hospital Universitario de Düsseldorf. En Estados Unidos, las víctimas pagaron al menos 40.000.000 de euros entre mayo de 2019 y marzo de 2021.

Esas son las malas noticias.

La buena noticia, si se puede llamar así, es la razón por la que Europol está escribiendo ahora sobre el ransomware DoppelPaymer.

Una operación combinada en la que han participado las fuerzas de seguridad alemanas, ucranianas y estadounidenses acaba de dar como resultado al interrogatorio y la detención de sospechosos en Alemania y Ucrania, y la incautación de dispositivos electrónicos en Ucrania para su análisis forense.

La Europol no ha publicado ninguna imagen de los equipos incautados, pero suponemos que se han incautado ordenadores portátiles y teléfonos móviles, tal vez junto con vehículos (que hoy en día son redes informáticas en línea polivalentes por derecho propio), para su examen.

Los servidores pueden seguir funcionando

El comunicado de prensa no menciona si los investigadores pudieron incautar o cerrar algún servidor relacionado con esta banda de ransomware.

Hoy en día, tanto si están operados por empresas legítimas como por delincuentes, los servidores tienden a funcionar en algún lugar de la nube, lo que literalmente significa “en el ordenador de otra persona”, que casi siempre significa también “en otro lugar, quizás incluso en otro país”.

Por desgracia, con un uso cuidadoso de las herramientas de anonimato de la web oscura y una seguridad operativa prudente, los delincuentes pueden ocultar la ubicación física de los servidores que utilizan.

Esos servidores podrían incluir los sitios web donde publican sus datos de señalar y humillar, las bases de datos donde registran las claves de descifrado de las víctimas actuales y si han pagado, o los servidores de la “red empresarial” donde contratan a afiliados para que les ayuden a montar sus ataques.

Así que, aunque la policía detenga a algunos, muchos o todos los miembros de una banda de ransomware, eso no siempre detiene las actividades de ransomware, porque su infraestructura permanece, y aún puede ser utilizada por otros miembros de la banda o tomada por sus rivales para continuar las actividades de extorsión.

Del mismo modo, si la policía consigue derribar e incautar servidores vitales para una banda de ransomware, el mismo anonimato de la web oscura que dificulta el seguimiento de los usuarios detenidos hasta sus servidores también dificulta el rastreo hacia atrás desde los servidores incautados para identificar y detener a los usuarios.

A menos que los delincuentes hayan cometido errores técnicos u operativos, por supuesto, como realizar conexiones directas a sus servidores por error en lugar de pasar por un servicio de anonimato como TOR, o confiar en que otros operadores de la escena del cibercrimen no les delaten por accidente o a propósito.