Si en estos días hemos sido testigos de una importante actuación contra el grupo de ransomware LockBit, ahora se ha dado otro golpe a la ciberdelincuencia global, esta vez contra el grupo SugarLocker, arrestando a sus principales líderes. 

Las autoridades rusas, en colaboración con expertos en ciberseguridad de la organización FACCT, han conseguido desarticular la red de ransomware SugarLocker, conocida por sus ataques a organizaciones en todo el mundo. Los delincuentes operaban bajo la fachada de una legítima empresa de IT, ofreciendo servicios, aplicaciones móviles y tiendas online.

El gobierno ruso, con el apoyo de FACCT, anunció también la detención de Aleksandr Gennadievich Ermakov perteneciente al grupo de ransomware SugarLocker. Según el comunicado de prensa difundido por medios rusos, el individuo arrestado operaba bajo los alias de ‘blade_runner’, ‘GistaveDore’, ‘GustaveDore’ y ‘JimJones’.

La detención de Ermakov y otros miembros del grupo no habría sido posible sin la extensa colaboración entre las fuerzas rusas y los expertos en ciberseguridad de FACCT. Un error en la configuración de un servidor web, que alojaba el panel de control de SugarLocker, fue el talón de Aquiles que expuso la identidad de los operadores de este ransomware, facilitando su captura.

Durante la operación, se incautaron de ordenadores portátiles, teléfonos móviles y numerosas pruebas digitales que vinculan a los sospechosos con actividades cibernéticas ilegales.

Curiosamente, los delincuentes operaban bajo el nombre de la legítima empresa de IT Shtazi-IT, que ofrecía servicios de desarrollo, aplicaciones móviles, scripts, analizadores y tiendas online. La compañía publicaba abiertamente anuncios de contratación de nuevos empleados y en los contactos se mencionaba la cuenta de Telegram de @GustaveDore.

SugarLocker: La amenaza latente

SugarLocker, también conocido como Encoded01, surgió a principios de 2021. En noviembre de ese año, en el foro clandestino RAMP, un usuario bajo el alias «gustavedore» publicó un anuncio sobre el lanzamiento de un programa de afiliados siguiendo el modelo RaaS (Ransomware-como-Servicio) y la contratación de socios para el grupo de extorsionadores que utilizaban el cifrador SugarLocker.

La esencia del modelo RaaS es que los desarrolladores venden o alquilan software malicioso a sus socios para futuros hackeos de redes y despliegues de ransomware. Este modelo de negocio podría parecer legítimo si no fuera por su intención maliciosa. Este esquema permite a los ciberdelincuentes alquilar su infraestructura de ransomware a otros atacantes, expandiendo así sus capacidades destructivas a gran escala.

Este modelo de Ransomware-as-a-Service (RaaS) permitió al grupo dirigir sus esfuerzos hacia redes específicas y explotar vulnerabilidades, evitando intencionadamente a los países de la Comunidad de Estados Independientes (CIS), con la excepción de los Estados bálticos y Polonia.

Las operaciones de SugarLocker, ocultas en las sombras de la dark web y alojadas en servidores rusos, se convirtieron en el punto central de la investigación de las fuerzas del orden. A pesar de sus esfuerzos por permanecer anónimos, la caída del grupo fue finalmente asegurada por su dependencia de una red que, una vez que fue intervenida por expertos en ciberseguridad, dejó al descubierto toda su operación.

El análisis detallado del ransomware reveló algoritmos de cifrado avanzados y configuraciones personalizables, lo que distinguía a SugarLocker de otras variantes de ransomware. Sin embargo, fue la infraestructura del grupo, alojada en servidores rusos y su vulnerabilidad imprudente, lo que finalmente condujo a su desmantelamiento.

La colaboración internacional, clave en la lucha contra el cibercrimen

La desarticulación de SugarLocker no solo destaca la importancia de la cooperación internacional en la lucha contra el cibercrimen, sino que también sirve de recordatorio de que la vigilancia constante es clave para protegerse contra estas amenazas. La captura de sus miembros envía un mensaje claro a los ciberdelincuentes de que, tarde o temprano, serán perseguidos y enfrentarán la justicia.

El éxito de esta operación subraya el papel crucial que juegan los expertos en ciberseguridad y las fuerzas del orden en la defensa contra las operaciones de ransomware. A medida que el sector continúa evolucionando, la colaboración y el intercambio de información entre países y organizaciones serán fundamentales para anticiparse y neutralizar futuras amenazas de ransomware.

Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre