Detenidos por difundir ransomware CTB-Locker y Cerber
Las autoridades rumanas han detenido a cinco personas por acusaciones de difusión de correo basura que infectó a los usuarios con las familias ransomware CTB-Locker y Cerber.
Los cinco sospechosos detenidos no son los autores de los ransomwares, sino meros distribuidores. Los investigadores dicen que alquilaron familias de ransomware en portales ransomware-as-a-Service.El grupo de los binarios empaquetados ransomware dentro de archivos comprimidos hechos para parecer facturas, que se envían a los usuarios como archivos adjuntos de correo no deseado parte de correo electrónico. El grupo mantuvo 70% del pago de rescate, mientras que el 30% se quedó con el portal RAAS.
Los agentes DIICOTde Rumania inicialmente detuvieron a tres individuos en Bucarest, capital de Rumania, que actúa en Intel que recibieron de Europol y la policía holandesa.Las autoridades creen que estos tres estan detrás de las olas de spam que distribuyen el ransomware infame CTB-Locker, una de las primeras familias que utilizan la red Tor para ocultar su infraestructura de comando y control.
Los investigadores encuentran otros dos sospechosos mas después de las detenciones iniciales
La policía detuvo a otros dos sospechosos, parte de la misma banda, después de las detenciones iniciales. En el momento de las detenciones relacionadas con CTB-Locker, las autoridades no habían descubierto las identidades de los otros dos sospechosos.Las detenciones iniciales permitía a las autoridades para descubrir la identidad del mundo real de los otros dos sospechosos y los relacionan con infecciones con el ransomware Cerber sobre objetivos estadounidenses.
El Servicio Secreto de Estados Unidos actuó con rapidez mediante la emisión de una orden de captura internacional, que llegó justo a tiempo por lo que las autoridades rumanas podían detener a los otros dos sospechosos al día siguiente, mientras ellos estaban tratando de salir del país.
McAfee también contribuyó con la información que condujo a la detención de los sospechosos. El ingeniero principal de McAfee, dijo que McAfee asistido esta investigación mediante el análisis de muestras de malware que se encuentran en el servidor que la Unidad de Delitos de Alta Tecnología holandesa fue capaz de obtener acceso.
Estas muestras resultaron ser para el CTB-Locker, lo que ayudó a atribuir que este servidor se utiliza para distribuir el ransomware como parte de una campaña de afiliación.
A continuación se muestra un vídeo grabado por la policía rumana durante los registros en siete lugares. Europol dijo que las autoridades rumanas incautaron "una cantidad significativa" de los discos duros, ordenadores portátiles, dispositivos de almacenamiento externos, dispositivos de minería criptomoneda y otros documentos.