La pandilla de ransomware DoppelPaymer ha sido derrocada por los esfuerzos combinados de Alemania, Ucrania y otras fuerzas policiales.
En un anuncio de hoy, la cooperativa policial europea Europol dijo que la semana pasada la policía alemana allanó la casa de un ciudadano alemán, que se cree que desempeñó un papel importante en la pandilla. Al mismo tiempo, los agentes de policía ucranianos interrogaron a un ciudadano ucraniano que también se cree que es miembro de la banda principal y registraron dos lugares, uno en Kiev y otro en Kharkiv.
Europol también le dio crédito al FBI y a la policía holandesa por ayudar en la investigación.
Tres expertos de Europol han sido enviados a Alemania para ayudar a analizar los equipos informáticos incautados en la redada.
Basado en el ransomware BitPaymer y parte de la familia de malware Dridex, según Europol, DoppelPaymer utilizó una herramienta única capaz de comprometer los mecanismos de defensa al terminar los procesos relacionados con la seguridad en los sistemas atacados.
El ransomware se ha distribuido desde 2019 a través de varios canales, incluidos correos electrónicos de phishing y spam con documentos adjuntos que contienen código malicioso, ya sea JavaScript o VBScript. A menudo, los atacantes usaban el malware Emotet. La pandilla adoptó una estrategia de doble extorsión, amenazando con divulgar los datos robados además de cifrar la información, como presión adicional sobre las organizaciones de víctimas.
Uno de los más graves fue un ataque en 2020 contra los sistemas informáticos del Hospital Universitario de Düsseldorf que obligó a la institución a enviar a un paciente de emergencia a un hospital cercano. Eso retrasó su tratamiento por una hora, y algunos culparon a su muerte por la demora. Según el FBI, después de que las autoridades alemanas se pusieran en contacto con la pandilla, retiraron el intento de extorsión y proporcionaron una clave de descifrado digital.
Sin embargo, el informe del FBI señala que el año anterior al incidente de Düsseldorf, la pandilla infectó 13 de los 380 servidores utilizados por un centro médico de EE. UU.
