La policía de Estados Unidos y Gran Bretaña lograron detener una operación de hacking masivo que infectó computadoras alrededor del mundo y robó al menos 10 millones de dólares tan solo en territorio estadounidense.
Los fiscales de EE.UU. anunciaron este martes una victoria en la guerra contra los malware.
Funcionarios estadounidenses —con la ayuda de varias firmas de ciberseguridad— tomaron control de una red de máquinas que distribuyeron un software malicioso conocido como Bugat, Cridexo Dridex.
Este malware atacó a personas al introducirse en sus computadoras, robando sus contraseñas y vaciando cuentas bancarias.
Para su distribución, el virus se respaldó en una red de computadoras esclavizadas. Los expertos informaron que este mal infectó a unas 125.000 computadoras al año.
De manera separada, el Departamento de Justicia de EE.UU. también presentó cargos criminales contra Andrey Ghinkul, un hombre de 30 años que es sospechoso de ser el hacker líder en esta operación.
Ghinkul fue arrestado recientemente en Chipre, y los fiscales estadounidenses buscan extraditarlo para llevarlo a juicio en Estados Unidos.
El fiscal de Estados Unidos en Pennsylvania, David J. Hickton, dijo “hemos acabado con una de las amenazas de malware más peligrosas en el mundo”.
El método de robo
Según la demanda presentada por autoridades estadounidenses, los robos cibernéticos que llevó a cabo Ghinkul duraron años, y no estaba solo.
Los investigadores creen que Ghinkul y otras personas enviaronspam que engañó a las personas para que abrieran correos electrónicos maliciosos. Al utilizar este método, pudieron robar unos 3,5 millones de dólares de Penneco Oil en Pennsylvania durante 2012, y envió este dinero a las cuentas bancarias en Bielorrusia y Ucrania, según menciona la demanda.
Con este mismo método, Ghinkul trató de robar casi un millón de dólares del Distrito Escolar de Ciudad Sharon en Pennsylvania durante 2011, pero finalmente no pudo lograrlo, informaron los investigadores.
El arresto del hacker fue llevado a cabo por agentes gubernamentales del Oficina Federal de Investigaciones (FBI, por sus siglas en inglés), la Agencia Nacional contra el Crimen de Gran Bretaña, el Centro Europeo contra el Cibercrimen y la alemana Bundeskriminalamt.
Pero las compañías privadas fueron parte clave en este hecho. Dell SecureWorks le dijo a CNNMoney que dirigió la operación en la que hackearon el virus que divulgó el malware. Fue apoyada por las compañías de ciberseguridad Fox-IT, S21sec, Spamhaus y otras.
Los investigadores de computadores en Dell SecureWorks fueron los primeros en descubrir el programa de computadora que robaba información bancaria en 2010. Bugat, como fue nombrada en su momento, espiaba el historial de búsqueda de las personas para reconocer en que momento visitaron un sitio de bancos, para luego interceptar los nombres de usuarios y las contraseñas, que eran enviadas a los hackers.
Bugat evolucionó a través de los años para tener versiones más inteligentes y capaces. Los investigadores lo renombraron Cridex, y eventualmente Dridex.
El sistema de distribución masiva del malware —el que acaba de ser apagado— hizo que Dridex fuera el virus más popular en bombardear a las redes internas de las computadoras de las corporaciones. Funcionaba como un correo electrónico con spam.
Los hackers enviaban diariamente olas de hasta 350.000 correos electrónicos con Dridex, según informó Proofpoint, una firma de ciberseguridad que brinda un servicio para asegurar los correos electrónicos de las compañías.
Un proyecto para atacar el virus
A principios de este año, los investigadores de Dell SecureWorks comenzaron a trabajar en un proyecto para interrumpir el virus. Se alió a las agencias gubernamentales y recibió el permiso legal para hackear la matriz del malware.
El evento mayor ocurrió el pasado 28 de agosto, cuando la policía en Chipre arrestó a Ghinkul. La propagación del malware Dridexse detuvo de inmediato, según expertos.
Luego vino la operación para detener a los hackers. La semana pasada, trabajadores de Dell SecureWorks fueron enviados a diferentes partes del mundo para comenzar una operación secreta de varios días para introducirse en las computadoras madre que estaban en la cima de una pirámide de computadoras esclavizadas.
“Pudimos atacar la red de computadoras infectadas y quitarles el control a los hackers”, dijo el investigador Jeff Williams de Dell SecureWorks a CNNMoney. “Ya no podrán continuar infectado información”.
Esta red está ahora bajo el control de una organización llamadaThe Shadowserver Foundation, un grupo de hackers profesionales que fungió como voluntarios para hacer del internet un lugar más seguro.
Los expertos dijeron que este fue solo un golpe para los hackers. La policía logró detener una red de distribución de malware, pero no el mal en sí. De hecho, Proofpoint ha visto Dridex siendo distribuido por otras redes de hackers en los mismos niveles.
“No ha acabado, ni siquiera estamos cerca de que se acabe”, dijo Kevin Epstein, un investigador de Proofpoint. “Dridex regresará con sed de venganza. Si tú estás vendiendo drogas y alguien detiene a tu distribuidor, ¿acaso eso acaba con el tráfico de drogas?”.