Estamos sin duda alguna ante una gran noticia. Nuestros amigos de la Brigada de Investigación Tecnológica (BIT) de  la Policía Nacional en colaboración con Europol y con Interpol han desmantelado la bandas de ciberdelincuentes responsable del “Virus de la policía”. Según el comunicado publicado por el Ministerio del Interior han sido detenidas 10 personas pertenecientes a una de las células financieras del grupo, que manejaba 1 millón de Euros al año, dinero obtenido de las víctimas del malware. 6 de ellos son ciudadanos rusos, 2 ucranianos y 2 georgianos, todos ellos residentes en España.

Además ha sido detenido el cabecilla de toda la operación, se trata también de un ciudadano ruso. Curiosamente, a pesar de ser residente ruso, ha sido detenido en Dubai mientras se encontraba de vacaciones. Ya están en marcha los trámites de extradición a España. La operación sigue abierta y no se descartan nuevas detenciones.

En cualquier caso, antes de que comencemos a lanzar las campanas al vuelo, por los diferentes estudios que hemos realizado a lo largo de los años del virus de la policía, creemos que detrás de estos ataques no se encuentra un solo grupo, sino que hay varios. Hemos llegado a esta conclusión después de haber estudiado múltiples variantes a lo largo del tiempo y ver diferencias significativas entre ellas.

En este mismo blog hemos informado en diferentes ocasiones sobre el virus de la policía, comentando cómo iba evolucionando y cambiando de técnicas. Estas evoluciones son normales y no implican en absoluto que haya distintos grupos detrás de los ataques, ya que es algo natural que los ciberdelincuentes vayan probando nuevas técnicas para lograr el mayor número de víctimas posibles que paguen.

Sin embargo, hay otras evidencias que no hemos comentado anteriormente: cómo ciertas técnicas que supuestamente habían quedado superadas vuelven a surgir (por ejemplo el cifrado de ficheros del ordenador atacado), cómo para hacer lo mismo (mostrar la pantalla con el falso aviso de la policía) diferentes variantes utilizan funciones completamente distintas (dejando claro que se trata de proyectos diferentes), etc.

En cualquier caso se trata de algo relativamente normal. Si analizamos la situación desde un punto de vista comercial, vemos que alguien ha tenido una idea con la que empieza a hacer mucho dinero, y rápidamente hay otras personas que viendo el éxito tratan de subirse al carro y hacer lo mismo. En el caso que nos ocupa, parece que diferentes grupos de ciberdelincuentes están dedicándose al mismo negocio.

Otra evidencia que nos lleva a deducir que hay más bandas detrás de este tipo de ataques es que a día de hoy aún los ataques siguen produciéndose: nuevas infecciones de malware de la policía pidiendo el pago de 100€. Estas capturas de pantalla de 2 nuevas variantes las hemos tomado hace unos minutos mientras escribía estas líneas:

viruspoliciahoy

Ransom_Luis

En cualquier caso estamos hablando de buenas noticias, hay una banda de ciberdelincuentes que está entre rejas, y además la policía sigue investigando sin descanso.