Desmantelan grupo de hackers prorruso responsable de miles de ataques

Una operación internacional coordinada por Europol y Eurojust permitió desmantelar la infraestructura del grupo de hackers prorruso NoName057, señalado por autoridades como responsable de miles de ciberataques en Europa. Entre los países afectados, España registró al menos 500 incidentes vinculados a este grupo desde marzo de 2022.

La intervención, denominada operación Eastwood, contó con la participación de autoridades policiales y judiciales de 12 países, incluidos Alemania, Italia, Francia, Estados Unidos y España. El operativo culminó con dos personas detenidas en territorio español y francés, así como con la emisión de siete órdenes internacionales de detención.

Cinco de las órdenes están dirigidas contra ciudadanos rusos, dos de los cuales son señalados como los posibles líderes de la organización. En total, se llevaron a cabo 24 registros domiciliarios, entre ellos cinco en ciudades españolas como Madrid, Barcelona y Zaragoza.

Desde marzo de 2022, el grupo ejecutó ataques cibernéticos contra sedes gubernamentales, administraciones públicas, sistemas de transporte, entidades bancarias, servicios de salud y empresas de telecomunicaciones. Las autoridades informaron que "NoName 057(16) reivindicó miles de ataques de denegación de servicio distribuido (DDoS) contra instituciones públicas, sitios gubernamentales, bancos, sanidad, transporte y empresas de telecomunicaciones".

Uno de los ataques más significativos en territorio español fue el intento de sabotaje digital al portal del Ministerio del Interior durante las elecciones generales del 23 de julio de 2023. Las investigaciones continúan para determinar el alcance total de la infraestructura cibernética utilizada.

En Italia, las fuerzas del orden identificaron a cinco personas presuntamente vinculadas con NoName057, sospechosas de haber participado en atentados contra infraestructuras nacionales y de la Unión Europea. Estas personas están bajo investigación y sujetas a órdenes de búsqueda activas.

Las indagaciones permitieron identificar una estructura operativa compleja, con centros de comando en Rusia y más de 600 servidores dedicados a ocultar el tráfico y ejecutar los ataques. Los investigadores señalaron que quienes deseaban colaborar eran reclutados a través de canales de Telegram y recibían pagos en criptomonedas.

Estos colaboradores ponían a disposición sus dispositivos para realizar ciberataques mediante el uso de un software específico llamado ‘DDoSia’. Este programa era accesible a través del proyecto DDosia, promovido directamente por el grupo.

Según fuentes policiales, NoName057 empleaba estrategias inspiradas en entornos de videojuegos para atraer a jóvenes usuarios, "ofreciéndoles recompensas digitales y reconocimiento a cambio de participar en los ataques".