La Guardia Civil ha desarticulado al grupo de ciberdelincuentes que en verano de 2020 hackeó a una empresa española de criptomonedas y se hizo con 6.000.000 euros pertenecientes a cientos de inversores
Los hechos fueron puestos en conocimiento del Departamento contra el Cibercrimen de la Unidad Central Operativa (UCO) de la Guardia Civil, que al comprobar el elevado número de víctimas y la cantidad sustraída le dio máxima prioridad al caso.
Ataque altamente sofisticado
La Guardia Civil ha explicado, en un comunicado enviado este miércoles, que el ataque contra la empresa dedicada a la custodia de criptodivisas fue “altamente sofisticado”, así como el seguimiento de los movimientos realizados por la criptomoneda enmascarada en un complejo sistema de blanqueo de capitales.
La empresa fue atacada por un malware denominado RAT (Remote Access Trojan), más conocido como Troyano. Cuando consiguieron acceder al sistema de la empresa, los ciberdelincuentes lanzaron otro ataque de tipo APT (Amenazas Persistentes Avanzadas), utilizadas por grupos sofisticados de cibercriminales.
El origen: una película
Los investigadores descubrieron que el origen del ataque fue la descarga de un archivo malicioso, en concreto, de una película a través de un portal de contenido “pirata” por parte de un trabajador de la empresa afectada.
Los archivos que conformaban la película contenían un potente virus, muy sofisticado, que permitió a los atacantes hacerse con el control absoluto del ordenador del empleado. Lo hicieron seis meses antes de efectuar el robo del dinero, por lo que tuvieron tiempo suficiente como para conocer con detalle todos los procesos internos de la mercantil y preparar el ataque informático.
Seis meses analizando la empresa
El ataque se efectuó en verano de 2020, cuando ya conocían todos los procedimientos, características y estructuras de la empresa. Durante el mismo, los ciberdelincuentes realizaron una transacción de criptomonedas por valor de 6.000.000 de euros.
Una vez sustraídas, las criptomonedas sustraídas fueron transferidas a billeteras bajo el control de los atacantes, donde estuvieron inmovilizadas durante más de seis meses tratando de no llamar la atención policial. Después de ese tiempo prudencial empezaron a mover los activos usando un complejo entramado de billeteras electrónicas de blanqueo de capitales que les proporcionaba un cierto anonimato.
Rituales del Sapo Bufo
Pero, la Guardia Civil descubrió la identidad de cuatro personas que recibieron parte del dinero sustraído. Los agentes de la UCO llevaron a cabo cuatro registros en Tenerife, Bilbao y Barcelona y detuvieron a cuatro sujetos a los que se les intervino una gran cantidad de material informático así como criptomonedas por valor de casi un millón de euros, relacionadas con el robo.
Analizando todo el material incautado, los agentes pudieron rastrear la autoría del ataque, llegando a localizar el malware tipo troyano utilizado y la trazabilidad del ciberataque. Una vez constatada la supuesta autoría del ciberataque, la investigación se centró en la identificación de todos los posibles receptores de las criptodivisas sustraídas y su vinculación con el primero, llegando los investigadores hasta otro individuo, el cual recibió al menos 500.000 € en criptodivisa robada.
Esta misma semana se ha efectuado la última fase de la operación hasta el momento y se ha procedido a la investigación de otra persona, la cual ejercía un control sobre el supuesto autor a través del consumo de drogas vinculadas a rituales como el del Sapo Bufo.