Ciberdelincuentes prorrusos cazados: NoName057(16), el grupo de hackers desmantelado en una gigantesca operación

El grupo de ciberdelincuentes prorruso llamado NoName057(16) sufrió esta semana un duro golpe tras un operativo internacional en el que participaron 19 países realizando investigaciones, trabajo de campo, detenciones y otras labores de apoyo.

LEE TAMBIÉN | El nuevo ‘Doctor Muerte’ en Alemania reabre viejas heridas: otros casos de asesinos en serie ligados a la salud

La Operación Eastwood, como fue llamada por sus autores, se realizó con la coordinación de la Agencia de la Unión Europea para la Cooperación Judicial Penal (Eurojust) y la Oficina Europea de Policía (Europol).

Newsletter Vuelta al Mundo

Francisco Sanz analiza cómo los eventos internacionales transforman el mundo, cada martes.

Recíbelo

Agencias gubernamentales de República Checa, Francia, Finlandia, Alemania, Italia, Lituania, Polonia, España, Suecia, Suiza, Países Bajos y Estados Unidos llevaron a cabo intervenciones contra los ciberdelincuentes. La Agencia de la Unión Europea para la Ciberseguridad (ENISA) y otros países como Bélgica, Canadá, Estonia, Dinamarca, Letonia, Rumanía y Ucrania brindaron apoyo, lo que da una idea sobre la escala del gigantesco operativo.

Según la Europol, en los trabajos participaron 200 agentes de policía y nueve personas resultaron detenidas tras 24 registros domiciliarios realizados en República Checa, Francia, Alemania, Italia, España y Polonia. Dicha entidad indicó que la mayor parte de la infraestructura informática de NoName057(16) quedó fuera de línea tras la interrupción de más de un centenar de servidores a nivel global.

La empresa de seguridad informática Radware define a NoName057(16) como “un grupo de hackers prorrusos conocido por sus ciberataques a sitios web ucranianos, estadounidenses y europeos de agencias gubernamentales, medios de comunicación y empresas privadas”.

La firma de seguridad sostiene que una de las principales actividades del conjunto de hackers es silenciar lo que consideran “antirruso”. Las autoridades europeas califican a esta red como una “organización criminal ideológica” por su abierto apoyo a Rusia y han calculado que cuenta con unos 4.000 miembros.

El colectivo dio a conocer su existencia en el 2022 al afirmar que era responsable de ciberataques contra sitios web de Ucrania, países europeos y Estados Unidos. Los blancos fueron variados, pues se trataba de medios de comunicación, empresas y agencias gubernamentales.

Buena parte de los ataques informáticos de ciberdelincuentes asociados a esta red se concentraron inicialmente en Ucrania, obstaculizando servicios del gobierno, transporte e incluso del ejército de ese país.

Junio del 2022 es considerado el momento en el que comenzaron sus operaciones de forma clara cuando bloquearon los servidores de noticias ucranianos. Más adelante los ataques se extendieron hacia los estados que apoyaban a Ucrania en medio del conflicto que mantiene con Rusia.

Europol indica que entre los años 2023 y 2024 emprendieron ataques contra plataformas estatales y de la banca de Suecia, mientras que en Alemania se registraron incidentes similares contra más de 250 entidades públicas y privadas. Canadá, Dinamarca, Suiza y Países Bajos también fueron escenario de los ciberdelitos de los hackers prorrusos.

El reclutamiento de NoName057(16) tiene lugar en diversos medios como foros, espacios dentro de videojuegos en línea, grupos en las redes sociales y chats.

La mayoría de los integrantes son rusoparlantes y el colectivo no tiene una jerarquía marcada, pero sí mantiene un nivel básico de organización. Pese a que los ciberataques que realizan son conceptualmente sencillos, han demostrado ser problemáticos.

El ataque DDoS (Denegación Distribuida de Servicio) ha sido uno de sus principales modos de operación y por esta vía hacían colapsar los sistemas que tenían como objetivo. Los hackers llevan a cabo un aproximado de 73 de estas operaciones diariamente contra Ucrania.

Para contribuir a ese fin crearon “DDoSia”, una herramienta para facilitar los ataques a simpatizantes de su causa y sus integrantes más nuevos, la cual era distribuida por Telegram, GitHub y otros canales.

En términos sencillos, “DDoSia” hace que cualquiera pueda participar de un ataque DDoS, obviando la organización centralizada que usualmente requería esta modalidad maliciosa. Este conjunto de aplicativos está disponible en distintos repositorios de internet y es compatible con diferentes sistemas operativos, lo que lo convierte un arma potencial para otras actividades delictivas no relacionadas al conflicto en Ucrania.

En general, el desarrollo de aplicaciones maliciosas es constante entre los afiliados NoName057(16) y es frecuente la distribución de tutoriales para el desarrollo y uso de tecnología en ciberataques entre sus miembros.

Para incentivar la participación son frecuentes los premios en criptomonedas en función de objetivos, recompensa que también sirve como anzuelo para captar nuevos integrantes.