Hackegen i roben 6 MEUR a una empresa de criptomonedes des de Barcelona

L'atac va començar quan un empleat de la companyia va descarregar-se il·legalment una pel·lícula

La Guàrdia Civil ha desarticulat un grup de ciberdelinqüents que l’estiu del 2020 va atacar una empresa dedicada a la custòdia de criptodivises, materialitzant el robatori de 6 MEUR en criptomonedes. Aquestes pertanyien a milers d’inversors. Les dades recollides inicialment apuntaven cap a l’ús d’un sofisticat ‘malware’ i el temps emprat dins l’empesa va fer pensar els policies que darrera de l’atac hi havia autors del tipus APT (Amenaces Persistents Avançades), vinculades amb sofisticats grups de cibercriminals. Més en endavant es va concloure que l’origen de l’atac es trobava en la descàrrega il·legal d’una pel·lícula d’un portal de contingut multimèdia ‘pirata’, per part d’un treballador de la citada empresa.

Els arxius de la pel·lícula tenien un virus informàtic altament sofisticat que va permetre els atacants fer-se amb el control absolut de l’ordinador del treballador i fer-lo servir com a cobertura per accedir-hi. La descàrrega va tenir lloc més de mig any abans que es produïssin els fets, permetent als atacants conèixer amb detall tots els processos interns de la mercantil i preparar l’atac informàtic.

L’atac es va produir finalment l’estiu del 2020, accedint per una xarxa d’ordinadors interposada per donar l’ordre de transacció de criptomonedes per valor de 6 MEUR. Les criptomonedes sostretes van ser transferides a moneders controlats pels atacants, on hi van romandre immobilitzades més de mig any per no cridar l’atenció policial. Va ser després d’aquest període de temps, un cop es van sentir segurs, quan van començar a moure les criptomonedes fent servir un complex entramat de moneders electrònics de blanqueig de capitals.

La investigació va permetre identificar el suposat operador de la pàgina web de descàrregues il·legals des d’on es va distribuir el virus informàtic, així com quatre persones més que suposadament van rebre part de les criptomonedes. Aquestes persones no tenien relació aparent entre elles.

Registres a Tenerife, Bilbao i Barcelona

Amb tot això, el novembre passat es van portar a terme quatre registres domiciliaris a Tenerife, Bilbao i Barcelona. Aquests van finalitzar amb la detenció de quatre persones, a les que se’ls va intervenir material informàtic i criptomonedes relacionades amb el robatori per valor de 900.000 euros.

Amb l’anàlisi del material intervingut, els agents van poder constatar rastres de la suposada autoria de l’atac per part d’un dels detinguts, localitzant el malware emprat i la traçabilitat del ciberatac. També es van trobar els moviments inicials fets amb les criptomonedes i el pagament al titular de la pàgina web de descàrregues.

Posteriorment, la investigació es va centrar en la identificació dels receptors de les criptodivises robades i la seva vinculació amb l’autor del ciberatac. Així van arribar a un cinquè individu, que havia rebut com a mínim 500.000 euros en criptodivisa robada.

Aquesta setmana, en el marc de la darrera fase de l’ operació fins al moment, s’ha investigat una altra persona, que exercia un control sobre el suposat autor a través del consum de drogues vinculades a rituals.

L’operació ha estat dirigida pel jutjat d’instrucció número 12 de Madrid. La Guàrdia Civil ha destacat la importància en la col·laboració de la víctima i d’una empresa experta en ciberseguretat. El cos policial ha assegurat que és el primer cas resolt d’aquestes característiques amb cinc detinguts.