Las autoridades encargadas de hacer cumplir la ley de Alemania y Ucrania se han centrado en los presuntos miembros principales de un grupo de ciberdelincuencia que ha estado detrás de ataques a gran escala utilizando el ransomware DoppelPaymer.
La operación, que tuvo lugar el 28 de febrero de 2023, se llevó a cabo con el apoyo de la Policía Nacional Holandesa (Politie) y la Oficina Federal de Investigaciones (FBI) de EE. UU., según Europol.
Esto abarcó una redada en la casa de un ciudadano alemán, así como registros en las ciudades ucranianas de Kiev y Kharkiv. También se interrogó a un ciudadano ucraniano. Se cree que ambos individuos ocuparon posiciones cruciales en el grupo DoppelPaymer.
“El análisis forense del equipo incautado aún está en curso para determinar el papel exacto de los sospechosos y sus vínculos con otros cómplices”, agregó la agencia. dicho.
DoppelPaymer, según la empresa de ciberseguridad CrowdStrike, surgió en abril de 2019 y comparte la mayor parte de su código con otra cepa de ransomware conocida como BitPaymer, que se atribuye a un prolífico grupo con sede en Rusia llamado Indrik Spider (Evil Corp).
El malware de cifrado de archivos también exhibe superposiciones tácticas con el infame Software malicioso Dridexun troyano bancario centrado en Windows que ha ampliado sus características para incluir capacidades de botnet y robo de información.
“Sin embargo, hay una serie de diferencias entre DoppelPaymer y BitPaymer, lo que puede significar que uno o más miembros de Indrik Spider se separaron del grupo y bifurcaron el código fuente de Dridex y BitPaymer para iniciar su propia operación de ransomware Big Game Hunting. huelga de multitudes dicho.
Indrik Spider, por su parte, fue formada en 2014 por antiguos afiliados de la red criminal GameOver Zeus, una botnet peer-to-peer (P2P) y sucesora del troyano bancario Zeus.
Descubra las últimas tácticas de evasión de malware y estrategias de prevención
¿Listo para acabar con los 9 mitos más peligrosos sobre los ataques basados en archivos? ¡Únase a nuestro próximo seminario web y conviértase en un héroe en la lucha contra las infecciones del paciente cero y los eventos de seguridad de día cero!
Sin embargo, el posterior escrutinio policial cada vez mayor en sus operaciones llevó al grupo a cambiar de táctica, introduciendo ransomware como un medio para extorsionar a las víctimas y generar ganancias ilegales.
“Los ataques DoppelPaymer fueron habilitados por el prolífico malware Emotet”, dijo Europol. “El ransomware se distribuyó a través de varios canales, incluidos correos electrónicos de phishing y spam con documentos adjuntos que contenían código malicioso, ya sea JavaScript o VBScript”.
Se estima que los actores detrás del esquema criminal se dirigieron a al menos 37 empresas en Alemania, y las víctimas en los EE. UU. pagaron no menos de 40 millones de euros entre mayo de 2019 y marzo de 2021.