La Guardia Civil resuelve un caso de hackeo y robo de una empresa de custodia de criptomonedas por valor de 6 millones de euros

La Guardia Civil resuelve un caso de hackeo y robo de una empresa de custodia de criptomonedas por valor de 6 millones de euros

El mundo de las criptomonedas, a pesar de sus muchos aspectos positivos, alberga diferentes peligros tanto para los usuarios como para las empresas de servicios de la industria.

La disposición total de la víctima y la colaboración del sector privado de la ciberseguridad fueron claves para resolver el caso

El seguimiento de los movimientos de las criptomonedas robadas ha sido extremadamente difícil, en parte debido a la razón de ser de las criptomonedas, el anonimato de las transacciones.

La Guardia Civil ha desmantelado a un grupo de ciberdelincuentes en la conocida como Operación 3COIN, que en el verano de 2020 atacó a una empresa española de custodia de criptomonedas y robó 6.000.000€ en criptomonedas propiedad de miles de inversores.

Estos hechos fueron puestos en conocimiento de la Unidad Central Operativa (UCO) de Ciberdelincuencia de la Guardia Civil, que, dado el elevado número de víctimas y el valor de los bienes sustraídos, inició esta investigación con absoluta prioridad.

Se centró tanto en el origen y las características del sofisticado ataque como en el seguimiento de los movimientos de la criptomoneda robada, que estaba enmascarada en un complejo esquema de blanqueo de capitales y gravemente obstaculizada por la propia razón de ser de la empresa. criptomoneda; el anonimato de las transacciones.

En base a los datos recopilados inicialmente, como el uso de un sofisticado malware de tipo RAT (Remote Access Trojan), más conocidos como troyanos, el movimiento lateral en las computadoras de la empresa y el tiempo que los autores estuvieron en la empresa indicaron que detrás de este ataque puede provienen de autores de tipo APT (Advanced Persistent Threats) asociados con sofisticados grupos ciberdelincuentes.

Ataque desencadenado por la descarga de un archivo malicioso

Al investigar el origen del ataque a la empresa de custodia de criptoactivos, los investigadores concluyeron que se originó cuando un empleado de la empresa descargó ilegalmente una película de un portal de contenido multimedia “pirata” que tenía la empresa.

Los archivos que componían esta película contenían un sofisticado virus informático que permitía a los atacantes tomar el control total de la computadora del empleado y usarla como tapadera para obtener acceso a la empresa. Esta descarga se produjo más de medio año antes de los hechos y permitió a los atacantes conocer en detalle todos los procesos internos de la empresa y preparar el ataque informático.

Este ataque se produjo a mediados de verano, tras conocer todos los procedimientos, características y estructura de la empresa y haber accedido a través de una red informática intermediaria para emitir la orden de transacción de criptomonedas por valor de 6.000.000 de euros.

Las criptomonedas robadas fueron transferidas a billeteras bajo el control de los atacantes, donde fueron inmovilizadas durante más de seis meses para evitar llamar la atención de la policía. Después de ese tiempo, cuando se sintieron seguros, comenzaron a mover criptomonedas para el lavado de dinero a través de una compleja red de billeteras electrónicas.

Relación entre el propietario del sitio web de descarga y los atacantes

Fruto de las diversas vías de investigación abiertas por los agentes, se logró identificar al presunto operador de la web de descargas ilegales desde la que se distribuía el virus informático que provocó el ataque.

Otras vías de investigación tecnológica abierta permitieron la identificación de 4 personas adicionales que presuntamente recibieron algunas de las criptomonedas robadas, todas sin relación aparente.

Por todo ello, en noviembre de 2021, agentes de la UCO Contra la Ciberdelincuencia realizaron 4 registros domiciliarios en las provincias de Tenerife, Bilbao y Barcelona, ​​dando lugar a la detención e investigación de 4 personas incautadas con equipos informáticos de gran interés para las investigaciones. así como criptomonedas por valor de 900.000€ relacionadas con el robo.

Mediante el análisis de todo el material intervenido en estos registros, los agentes pudieron comprobar rastros de la supuesta autoría del ataque por parte de uno de los detenidos, localizar el malware de tipo troyano utilizado y la trazabilidad del ciberataque, así como los primeros movimientos. de las criptomonedas sustraídas y el pago de las mismas al propietario de la web de descarga desde la que se lanzó el virus.

Verificada la supuesta autoría del ciberataque, la investigación se centró en identificar a los posibles destinatarios de las criptomonedas robadas y su conexión con las primeras, lo que llevó a los investigadores a otro individuo que recibió al menos 500.000€ en criptomoneda robada.

En la misma semana, en la última fase del operativo hasta el momento, se investigó a otra persona que ejercía control sobre el presunto autor mediante el uso de drogas en relación con rituales como el Sapo Bufo.

Cooperación entre la Guardia Civil y el sector privado

La plena disposición de la víctima, junto con el trabajo de la empresa experta en ciberseguridad que intervino, permitió un intercambio de información muy fluido que fue crucial para la resolución de esta investigación.

La operación ha sido llevada a cabo por agentes de la Unidad Anticiberdelincuencia de la Unidad Operativa Central de la Guardia Civil y dirigida por el Juzgado de Instrucción número 12 de Madrid.

Para más información, puede contactar con la Oficina de Prensa de la Unidad Central de Operaciones en el 915146010.