Una operación internacional coordinada por Europol ha interrumpido la infraestructura de un grupo hacktivista pro-ruso conocido como Noname057 (16) que se ha vinculado a una serie de ataques distribuidos de negación de servicio (DDoS) contra Ucrania y sus aliados.
Las acciones han llevado al desmantelamiento de una parte importante de la infraestructura del servidor central del grupo y más de 100 sistemas en todo el mundo. El esfuerzo conjunto también incluyó dos arrestos en Francia y España, búsquedas de dos docenas de hogares en España, Italia, Alemania, la República Checa, Francia y Polonia, y la emisión de órdenes de arresto para seis nacionales rusos.
El esfuerzo, la Operación con nombre en código Eastwood, tuvo lugar entre el 14 y el 17 de julio e involucró a las autoridades de Checia, Francia, Finlandia, Alemania, Italia, Lituania, Polonia, España, Suecia, Suiza, Países Bajos y Estados Unidos. La investigación también fue apoyada por Bélgica, Canadá, Estonia, Dinamarca, Letonia, Rumania y Ucrania.
Noname057 (16) ha estado operativo desde marzo de 2022, actuando como un colectivo pro-Kremlin que moviliza a los simpatizantes ideológicamente motivados en el telegrama para lanzar ataques DDoS contra sitios web utilizando un programa especial llamado DDOSIA a cambio de un pago de criptojonencias en un esfuerzo para mantenerlos incentivados. Surgió poco después de la invasión de Rusia de Ucrania.
Cinco individuos de Rusia han sido agregados a la lista más buscada de la UE por supuestamente apoyar a Noname57 (16) – –
- Andrey Muravyov (también conocido como Dazbastadraw)
- Maxim Nikolaevich Lupin (también conocido como S3RMAX)
- Olga Evstratova (también conocido como Olechochek, Olenka)
- Mihail Evgeyevich Burlakov (también conocido como Ddosator3000, Darkklogo)
- Andrej Stanislavovich Avrosimow (también conocido como Ponyaska)
«Se sospecha que Burlakov es un miembro central del grupo ‘Noname057 (16)’ y, como tal, de haber hecho una contribución significativa para realizar ataques DDoS en varias instituciones en Alemania y otros países», según una descripción publicada en el sitio de fugitivos más buscados.
«En particular, se sospecha que asume un papel principal dentro del grupo bajo el seudónimo ‘Darkklogo’ y en este papel de haber tomado decisiones, incluso en el desarrollo y una mayor optimización del software para la identificación estratégica de los objetivos y para desarrollar el software de ataque, así como haber ejecutado pagos relacionados con el alquiler de servidores ilícitos».
Evstratova, también se cree que es un miembro central del grupo, ha sido acusado de asumir responsabilidades para optimizar el software de ataque Ddosia. Avrosimow se ha atribuido a 83 casos de sabotaje por computadora.
Europol dijo que los funcionarios se han comunicado con más de 1,000 personas que se cree que son partidarios de la red de delitos cibernéticos, notificándoles la responsabilidad penal que tienen por orquestar ataques DDoS utilizando herramientas automatizadas.
«Además de las actividades de la red, estimadas en más de 4,000 seguidores, el grupo también pudo construir su propia botnet compuesta por varios cientos de servidores, utilizados para aumentar la carga de ataque», señaló Europol.
«Mimicking similar a la dinámica del juego, los agradecimientos regulares, las tablas de clasificación o las insignias proporcionaban a los voluntarios un sentido de estatus. Esta manipulación gamificada, a menudo dirigida a los delincuentes más jóvenes, estaba emocionalmente reforzada por una narración de defensores de Rusia o eventos políticos que avengan».
En los últimos años, se ha observado que los actores de amenaza organizan una serie de ataques dirigidos a autoridades suecas y sitios web bancarios, así como contra 250 empresas e instituciones en Alemania en el transcurso de 14 olas separadas desde noviembre de 2023.
En julio pasado, el Civil de La Guardia de España arrestó a tres presuntos miembros del grupo por participar en «ataques cibernéticos de denegación de servicio contra instituciones públicas y sectores estratégicos de España y otros países de la OTAN».
El desarrollo se produce cuando grupos hacktivistas rusos como Z-Pentest, Dark Engine y Sector 16 están entrenando cada vez más sus miras en una infraestructura crítica, yendo más allá de los ataques DDoS y las defactaciones del sitio web que generalmente están asociadas con ataques cibernéticos motivados ideológicamente.
«Los grupos han alineado mensajes, tiempo coordinado y compartieron prioridades de orientación, lo que sugiere una colaboración deliberada que respalda objetivos cibernéticos estratégicos rusos», dijo Cyble.