Una operación internacional coordinada por Europol ha logrado desarticular con éxito la organización cibercriminal rumana conocida como Diskstation, responsable de una sofisticada campaña de ransomware que durante tres años comprometió la seguridad de empresas en todo el mundo. Esta red criminal se especializó en atacar sistemas de almacenamiento en red mediante malware altamente especializado.
Coordinación internacional contra el cibercrimen organizado
La Operación Elicius representó un ejemplo sobresaliente de cooperación internacional en la lucha contra la ciberdelincuencia. Las autoridades francesas, rumanas y los especialistas de Europol unieron esfuerzos bajo la supervisión de la fiscalía milanesa para desmantelar esta red criminal.
El proceso investigativo se basó en técnicas avanzadas de análisis forense digital, incluyendo el rastreo minucioso de transacciones blockchain y el examen exhaustivo de sistemas comprometidos. Tras meses de investigación intensiva, las autoridades identificaron a los principales operadores de la organización, culminando en junio de 2024 con redadas en Bucarest que resultaron en la detención de un ciudadano rumano de 44 años, presunto líder de la estructura criminal.
Ataques dirigidos contra infraestructura NAS Synology
La particularidad distintiva del grupo Diskstation radicaba en su especialización en dispositivos Synology NAS, sistemas de almacenamiento conectado en red ampliamente utilizados por organizaciones para centralizar datos, realizar copias de seguridad y facilitar el trabajo colaborativo.
Desde 2021, los ciberdelincuentes dirigieron sus ataques contra dispositivos NAS conectados a internet a nivel mundial. Su arsenal malicioso operaba bajo múltiples denominaciones: DiskStation Security, Quick Security, LegendaryDisk Security, 7even Security y Umbrella Security.
Metodología de ataque y demandas de rescate
Los atacantes explotaban vulnerabilidades de seguridad para obtener acceso no autorizado a los dispositivos NAS. Una vez infiltrados en los sistemas, procedían a cifrar información crítica, provocando la paralización completa de las operaciones empresariales de las víctimas.
Las demandas de rescate fluctuaban entre 10,000 y varios cientos de miles de dólares estadounidenses, determinadas por el tamaño de la organización afectada y la criticidad de los datos cifrados. Los pagos se exigían exclusivamente en criptomonedas, complicando significativamente el rastreo de los flujos financieros.
Impacto sectorial y víctimas identificadas
El alcance de los ataques de Diskstation abarcó diversos sectores económicos, afectando estudios de producción gráfica y cinematográfica, empresas organizadoras de eventos, así como organizaciones internacionales sin fines de lucro dedicadas a la defensa de derechos civiles y actividades benéficas.
Según informes oficiales, los ataques provocaron la paralización total de procesos productivos en las empresas victimizadas. Numerosas organizaciones se vieron obligadas a pagar considerables sumas de rescate para recuperar el acceso a información esencial y reanudar sus operaciones normales.
Técnicas investigativas y evidencia digital
Los investigadores emplearon metodologías avanzadas de criminalística digital, incorporando análisis blockchain para rastrear transacciones en criptomonedas. Esta aproximación permitió mapear los flujos financieros desde las víctimas hasta las carteras digitales de los criminales, estableciendo conexiones entre diferentes ataques.
El análisis forense de los sistemas comprometidos proporcionó evidencia adicional crucial, incluyendo huellas digitales, herramientas utilizadas y patrones operativos del grupo. La consolidación de esta información permitió construir un caso sólido contra los sospechosos.
El desmantelamiento exitoso del grupo Diskstation subraya la importancia de la colaboración internacional en la lucha contra el cibercrimen organizado. Este caso destaca la necesidad crítica de fortalecer las defensas de los sistemas de almacenamiento en red y mantener protocolos de seguridad actualizados para prevenir futuros incidentes de ransomware.
