El grupo Ransomwares denominados como «Cl0p», fueron detenidos por los agentes del Departamento de Policía Cibernética junto con el Departamento Principal de Investigación de la Policía Nacional de Ucrania. Los imputados fueron detenidos como parte de un operativo internacional con la coordinación de Interpol (IGCI), y junto con funcionarios encargados de hacer cumplir la ley de la República de Corea y los Estados Unidos.
Como parte de una operación conjunta entre la Policía Nacional de Ucrania y las autoridades de la República de Corea y los Estados Unidos, seis personas han sido acusados de ejecutar un esquema de doble extorsión en el que las víctimas que se niegan a pagar un rescate fueron amenazadas con la filtración de información financiera delicada, cliente o datos personales robados antes de cifrar los archivos.
«Los ataques de Cl0p Ransomware ascienden a más de $500 millones de dólares en daños monetarios», dijo la Policía Nacional de Ucrania, y señaló que «la policía ha logrado cerrar la infraestructura desde la que se propaga el virus y bloquear los canales para legalizar las criptomonedas adquiridas de forma criminal«. Según el comunicado de prensa de la policía ucraniana, aún no está del todo claro si las personas arrestadas durante el operativo son afiliadas o miembros principales de la organización. La posibilidad de que solo hayan arrestado a los miembros dedicados al lavado de activos es bastante alto, esto es debido a que los principales operadores de amenazas de muchos Ransomwares tienen su residencia en Rusia, y no en países como Ucrania. En donde este último se ha estado llevando operativos importantes para detener el cibercrimen. Un ejemplo claro fue la operación para desmantelar la botnet de Emotet.
Кіберполіція викрила хакерське угруповання у розповсюдженні вірусу-шифрувальника та нанесенні іноземним компаніям пів мільярда доларів збитків
— Національна Поліція (@NPU_GOV_UA) June 16, 2021
Деталі: https://t.co/mhFBP6oOtR pic.twitter.com/LR41D2uN8Q
Los agentes del orden llevaron a cabo 21 registros en la capital y la región de Kiev, en las casas de los acusados. En los allanamientos participó una unidad de Respuesta Táctica y Operativa de la Policía Patrullera. Se confiscaron equipos informáticos, automóviles y unos 5 millones de grivnas en efectivo.
Los delitos cometidos por los acusados están bajo la Parte 2 del Art. 361 (Interferencia no autorizada en el trabajo de computadoras, sistemas automatizados, redes de computadoras o redes de telecomunicaciones) y la Parte 2 del Art. 209 (Legalización (blanqueo) de bienes obtenidos por medios delictivos) del Código Penal de Ucrania. Los acusados enfrentan hasta ocho años de prisión.
Hasta el momento de realizar esta noticia, el portal de filtraciones de Cl0p Ransomware aun se encuentra disponible para acceder y descargar los documentos de las empresas comprometidas. Por lo que significa que las operaciones de esta banda de ransomware no se ha detenido, al menos por ahora. ¿Podría ser este el principio del Fin de Cl0p? Solo el tiempo nos dará una respuesta.

Vídeo del operativo contra Clop Ransomware por la Policía Nacional de Ucrania
Hitos de Cl0p Ransomware
Si bien la banda se centra en los ataques a los activos digitales mediante el cifrado o «secuestró», y extorsión para evitar la publicación de la información privada, la banda de Cl0p Ransomware se encuentra vinculada a la reciente ola de violaciones de datos de Accellion, con el cual condujeron a un aumento drástico en los pagos de rescate promedio calculados para los primeros tres meses de 2021.
Mediante la obtención de información de Accellion, la banda de Cl0p a comprometido a organizaciones como:
- Shell.
- Qualys.
- Kroger.
- El Banco de la Reserva de Nueva Zelanda.
- Singtel.
- La Comisión Australiana de Valores e Inversiones (ASIC).
- La Oficina del Auditor del Estado de Washington («SAO»).
- Y múltiples universidades.
Además de estos últimos puntos, la banda de Cl0p ransomware también afirmó haber robado 2 millones de tarjetas de crédito de los servidores del minorista coreano E-Land, utilizando malware de punto de venta (POS) antes de implementar ransomware en su red un año después, en noviembre de 2020.
Seguiremos informando.

Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence