Una operación policial internacional logró desmantelar a DiskStation, una banda de ransomware de origen rumano que se dedicaba a cifrar los sistemas de empresas en la región italiana de Lombardía, dejando sus negocios completamente paralizados.
La acción, conocida como “Operación Elicius”, fue coordinada por Europol y contó con el apoyo de las autoridades de Francia y Rumanía, quienes trabajaron en conjunto para frenar las actividades del grupo criminal.
DiskStation no es solo el nombre de un dispositivo NAS popular de Synology, también fue el apodo de una operación de ransomware que, desde 2021, ha estado atacando justamente ese tipo de sistemas: dispositivos de almacenamiento conectado a la red (NAS), utilizados por muchas empresas para guardar, compartir y respaldar archivos de forma centralizada.
Este grupo de ciberdelincuentes se enfocaba en NAS expuestos directamente a Internet, aprovechando configuraciones inseguras o vulnerabilidades sin parchear. Una vez dentro, cifraban todos los archivos y exigían un rescate para devolver el acceso. Los montos variaban, pero iban desde los 10.000 dólares hasta cifras que superaban los cientos de miles, dependiendo del tamaño de la víctima.
Durante su actividad, operaron bajo distintos nombres para evitar ser detectados fácilmente. Algunos de los alias más utilizados fueron: DiskStation Security, Quick Security, LegendaryDisk Security, 7even Security y Umbrella Security.
En resumen, este grupo convirtió un recurso esencial para empresas (como los NAS de Synology) en un punto débil que explotaron sin piedad a escala global.
Nota de rescate de DiskStation (Fuente: BleepingComputer)
Podría interesarte leer: ¿Cómo proteger tu empresa de ataques de ransomware con TecnetProtect?
Según informó el Servicio de Policía Postal y de Ciberseguridad, las empresas afectadas por el ransomware DiskStation sufrieron interrupciones críticas en sus sistemas, lo que detuvo por completo sus operaciones diarias.
“Los atacantes cifraron los datos en los sistemas de las víctimas, provocando la parálisis total de sus procesos de producción”, explicaron las autoridades.
Para poder volver a funcionar, las empresas se vieron obligadas a pagar un rescate en criptomonedas, en algunos casos cifras bastante elevadas, a cambio de recuperar el acceso a sus datos.
Entre los sectores más afectados se encuentran productoras gráficas y cinematográficas, organizadores de eventos y ONG internacionales que trabajan en defensa de los derechos civiles y causas humanitarias. Todas estas organizaciones presentaron denuncias ante la policía tras verse completamente bloqueadas por el ataque.
La investigación fue liderada por la Fiscalía de Milán, con un enfoque técnico centrado en el análisis forense de los sistemas comprometidos y el rastreo de pagos a través de la cadena de bloques (blockchain), una técnica clave para seguir el rastro del dinero en casos de ciberdelito.
Gracias a este trabajo, en solo unos meses se logró identificar a varios sospechosos. Esto permitió coordinar redadas en diferentes ubicaciones de Bucarest, Rumanía, durante junio de 2024, en colaboración con fuerzas policiales internacionales.
Estas intervenciones no solo proporcionaron pruebas sólidas que confirmaron las sospechas, sino que además condujeron a detenciones en flagrancia, es decir, con los responsables cometiendo delitos en tiempo real.
Uno de los arrestados fue un ciudadano rumano de 44 años, señalado como uno de los principales operadores detrás de los ataques con DiskStation. Actualmente, permanece en prisión preventiva, enfrentando cargos por acceso no autorizado a sistemas informáticos y extorsión agravada.
Si tienes un NAS (especialmente de marcas como Synology o QNAP), es fundamental tomar medidas de seguridad para evitar ser víctima de este tipo de ataques. Aquí te dejamos algunas recomendaciones clave:
Actualiza siempre el firmware a la última versión disponible.
Desactiva servicios innecesarios, como Telnet, rsync y UPnP, si no los estás utilizando.
No expongas tu NAS directamente a Internet; si necesitas acceso remoto, hazlo a través de una VPN segura.
Restringe el acceso por IP o usuarios y configura autenticación de dos factores (2FA) cuando sea posible.
Realiza backups regulares en dispositivos externos o en la nube, cifrados y desconectados del sistema principal.
Y sobre todo, considerar contar con una solución como TecnetProtect Backup, una plataforma basada en la tecnología de Acronis, líder mundial en protección de datos. Esta solución no solo realiza copias de seguridad automáticas y seguras, sino que también incluye defensas avanzadas contra ransomware, las mismas que han posicionado a Acronis como una de las herramientas más confiables del mercado.
Con TecnetProtect Backup, tus datos están protegidos frente a cifrados maliciosos, ataques de día cero y otros tipos de amenazas cibernéticas, permitiéndote recuperar rápidamente la información sin pagar rescates ni perder tiempo valioso.
En resumen, combinar buenas prácticas de seguridad con herramientas especializadas, es la mejor forma de garantizar la continuidad de tu negocio y evitar las graves consecuencias de un ataque.