Este lunes, el FBI anunció un hito importante en la lucha contra el cibercrimen: la confiscación de los servidores utilizados por la banda de ransomware conocida como "Dispossessor". Este grupo había logrado infiltrarse en los sistemas de decenas de empresas, dejando un rastro de caos y pérdidas financieras.
La operación fue un esfuerzo conjunto en el que participaron la Agencia Nacional del Crimen del Reino Unido, la Fiscalía de Bamberg y la Oficina de Policía Criminal del Estado de Baviera (BLKA). Las autoridades lograron confiscar tres servidores en Estados Unidos, tres en Reino Unido, 18 en Alemania, junto con ocho dominios estadounidenses y uno alemán. Entre los dominios incautados se encuentran radar[.]tld, dispossessor[.]com, dispossessor-cloud[.]com, cybershare[.]app, readteamcr[.]com, redhotcypher[.]com, cybernewsint[.]com (sitio de noticias falsas) y cybertube[.]video (sitio de vídeos falsos).
Aviso de incautación del FBI sobre la banda de extorsión y ransomware Radar/Dispossessor
Desde agosto de 2023, el grupo de ransomware Dispossessor, dirigido por un actor de amenazas conocido como Brain, ha lanzado ataques contra pequeñas y medianas empresas en diversos sectores a nivel global. El grupo ha reivindicado ataques a docenas de compañías, y el FBI ha identificado un total de 43 víctimas en países como Estados Unidos, Argentina, Australia, Bélgica, Brasil, Honduras, India, Canadá, Croacia, Perú, Polonia, Reino Unido, Emiratos Árabes Unidos y Alemania.
Según el FBI, Dispossessor se infiltra en las redes aprovechando vulnerabilidades, contraseñas débiles y la ausencia de autenticación multifactor en las cuentas. Una vez dentro de la red de la víctima, roban datos críticos e implementan el ransomware para cifrar los dispositivos empresariales.
"Una vez que los delincuentes lograron acceso a los sistemas, obtuvieron privilegios de administrador, lo que les permitió acceder fácilmente a los archivos. Luego, desplegaron el ransomware para cifrar los datos, dejando a las empresas sin acceso a su propia información", explicó el FBI en un comunicado de prensa.
El FBI también reveló que, tras atacar una empresa, si no recibían respuesta, el grupo se encargaba de contactar proactivamente a otros miembros de la organización, ya fuera por correo electrónico o teléfono. Estos correos electrónicos incluían enlaces a plataformas de vídeo donde se mostraban los archivos robados previamente.
Nota de rescate del Dispossessor
Te podrá interesar leer: ¿Cómo puede un SOC detectar y prevenir ataques cibernéticos?
El FBI también instó a las víctimas anteriores y a aquellos que han sido blanco de ataques a proporcionar cualquier información relevante sobre la pandilla Dispossessor, contactando al Centro de Quejas de Delitos en Internet a través de ic3.gov o llamando al 1-800-CALL FBI.
Inicialmente, cuando el grupo criminal comenzó sus operaciones, actuaba como una organización de extorsión, reutilizando datos robados previamente durante los ataques del ransomware LockBit, con los que afirmaban estar afiliados. Además, Dispossessor ha republicado filtraciones de otras operaciones de ransomware, intentando vender estos datos en varios mercados de infracciones y foros de piratería, como BreachForums y XSS.
El grupo también parece estar reutilizando datos de otras operaciones de ransomware, incluyendo ejemplos de Cl0p, Hunters International y 8base. Hasta la fecha, se ha identificado al menos una docena de víctimas cuyos datos han sido publicados tanto por Dispossessor como por otros grupos. Desde junio de 2024, Dispossessor comenzó a utilizar el cifrador LockBit 3.0, que se filtró en línea, para llevar a cabo sus propios ataques de cifrado, ampliando significativamente su capacidad de ataque.
Durante el último año, las fuerzas del orden han redoblado sus esfuerzos para combatir una amplia gama de actividades cibernéticas ilegales. Desde estafas con criptomonedas y la creación de malware hasta ataques de phishing y el robo de credenciales, los agentes han estado trabajando arduamente para enfrentar estas amenazas.
Un claro ejemplo de su compromiso son las operaciones recientes en las que lograron infiltrarse y desmantelar grupos de ransomware como ALPHV/Blackcat, responsables de ataques devastadores con variantes como LockerGoga, MegaCortex, HIVE y Dharma. También han tenido éxito en la lucha contra otros grupos de ransomware, como Ragnar Locker y Hive, desarticulando sus operaciones y protegiendo a innumerables víctimas potenciales.
Conoce más sobre: FBI Logra Desmantelar una Red de Bots en 190 países
El desmantelamiento del grupo de ransomware "Dispossessor" por parte del FBI marca un progreso importante en la lucha contra el cibercrimen. Al desarticular la infraestructura crítica que este grupo utilizaba, se ha logrado debilitar significativamente una de las amenazas más persistentes y peligrosas en el ámbito digital. No obstante, este triunfo no significa que la lucha haya terminado; el ransomware continúa siendo una amenaza constante y muy real.
Para contrarrestar estos riesgos, las organizaciones deben permanecer alertas, reforzando sus medidas de seguridad y manteniéndose al día con las últimas tácticas que emplean los ciberdelincuentes. Solo a través de un enfoque proactivo y una colaboración constante entre todas las partes implicadas podremos reducir el riesgo y proteger nuestros activos digitales a largo plazo.