Detenido en Alicante el cerebro de los cibercriminales tras los ataques Carbanak y Cobalt

El cerebro de la banda de cibercriminales responsable de los ciberataques Carbanak y Cobalt ha sido detenido en Alicante gracias a una operación dirigida por la Policía Nacional y que ha contado con el apoyo de Europol, el FBI y las autoridades de Taiwan, Rumanía y Bielorrusia. Además, hay varias empresas de ciberseguridad que también han colaborado en la investigación.

Esta banda, que comenzó a operar en 2013, se ha dedicado desde entonces a lanzar ataques contra bancos, sistemas de pago electrónico y entidades financieras por medio, entre otros, de los ciberataques Carbanak y Cobalt. En total han resultado atacadas desde entonces unas 100 instituciones financieras, repartidas por más de 40 países. En total, las entidades atacadas han tenido unas pérdidas superiores a los 1.000 millones de euros. Según las autoridades, sólo con Cobalt, los ciberdelincuentes se hacían con hasta 10 millones de euros por cada ataque.

El grupo comenzó sus actividades delictivas, como hemos comentados, en 2013. Entonces lanzó el malware Anunak, cuyo objetivo eran las transferencias financieras y las redes de cajeros automáticos de todo el mundo. En 2014, los integrantes de la banda consiguieros mejorar este ataque, y lanzaron una versión más sofisticada, que llamaron Carbanak y que utilizaron hasta 2016. Desde entonces y hasta ahora, se han ocupado de desarrollar una ola de ataques todavía más sofisticada mediante malware basado en el software de pruebas de penetración Cobalt Strike.

En prácticamente todos los casos, los atacantes del grupo enviaban correos electrónicos de phishing a los empleados de la entidad objetivo con un archivo asociado. En dicho correo simulaban formar parte de empresas legítimas. Una vez descargado e instalado el archivo asociado a dicho email, los ciberdelincuentes podrían controlar a distancia los equipos infectados. Como consecuencia, conseguían acceso a la red interna del banco e infectaban los servidores encargados de controlar los cajeros. De esta manera accedían a los datos necesarios para sacar dinero de ellos.

A partir de entonces, los cajeros podían recibir instrucciones a distancia para expulsar dinero a una hora concreta, que recogían grupos organizados que apoyaban a la banda. Sencillamente, esperaban al lado del cajero a que expulsase los billetes. Por otro lado, la red de pagos electrónicos de la entidad atacada se utilizaba para transferir dinero de sus cuentas a las de los delincuentes. Y las bases de datos con información de las cuentas de las que se sacaba el dinero se modificaba para que el balance de las cuentas bancarias aumentase. Una vez, el dinero llegaba a manos de terceros, que entregaba el dinero a la banda. Después, los beneficios conseguidos se lavaban mediante criptomonedas. Para ello utilizaban tarjetas prepago asociadas a monederos de criptomonedas, con los que compraban luego coches de lujo y casas.