Desarticulada la banda rumana ‘Diskstation’ tras ataques de ransomware contra empresas en Lombardía
Introducción
En una operación coordinada a nivel internacional, las fuerzas de seguridad han logrado desmantelar la banda rumana de ransomware conocida como ‘Diskstation’, responsable de una serie de ciberataques que paralizaron a múltiples empresas en la región italiana de Lombardía. Este nuevo éxito policial evidencia tanto la sofisticación creciente de las amenazas de ransomware como la necesidad de una cooperación transfronteriza efectiva para combatirlas.
Contexto del Incidente
El grupo ‘Diskstation’ ha estado activo al menos desde mediados de 2023, centrándose en la extorsión a empresas medianas y grandes, principalmente en el norte de Italia. Su modus operandi consistía en infiltrarse en los sistemas corporativos, cifrar datos críticos y exigir rescates significativos para devolver el acceso a la información. Durante el primer trimestre de 2024, al menos siete empresas del sector manufacturero y de servicios en Lombardía resultaron afectadas, viéndose forzadas a detener operaciones, con pérdidas globales estimadas en varios millones de euros.
El impacto fue especialmente severo en compañías sujetas a la legislación europea de protección de datos (GDPR), que debieron notificar a las autoridades y a sus clientes sobre posibles filtraciones y compromisos de información.
Detalles Técnicos
La operación del grupo ‘Diskstation’ se caracterizaba por el uso de ransomware personalizado, con variantes que, según los informes forenses, explotaban vulnerabilidades conocidas en servicios expuestos, como RDP (Remote Desktop Protocol) y servidores VPN sin parchear (CVE-2019-0708 y CVE-2020-0609, entre otras). El vector inicial de acceso solía ser el phishing dirigido, empleando credenciales obtenidas en mercados negros o mediante campañas de fuerza bruta automatizada.
Una vez dentro, los atacantes elevaban privilegios utilizando herramientas como Mimikatz para el volcado de credenciales y abusaban de frameworks de post-explotación como Cobalt Strike para movimientos laterales y persistencia. El ransomware desplegado cifraba datos con algoritmos AES-256 y RSA-2048, eliminando copias de seguridad locales y generando archivos de nota de rescate con instrucciones para el pago en criptomonedas.
En términos de TTP (Tácticas, Técnicas y Procedimientos), se identificaron patrones alineados con las siguientes técnicas del framework MITRE ATT&CK:
– TA0001 (Initial Access): Spearphishing Attachment, Exploit Public-Facing Application
– TA0002 (Execution): Command and Scripting Interpreter
– TA0003 (Persistence): Boot or Logon Autostart Execution
– TA0008 (Lateral Movement): Remote Services, Pass the Hash
– TA0040 (Impact): Data Encrypted for Impact
Los indicadores de compromiso (IoC) incluyeron direcciones IP asociadas a infraestructura de mando y control alojada en Rumanía y Europa del Este, hashes de archivos maliciosos y patrones de tráfico inusual en los puertos RDP y SMB.
Impacto y Riesgos
El impacto principal fue la total paralización de las operaciones de las empresas atacadas, con periodos de inactividad que oscilaron entre 48 horas y dos semanas. Al menos un 60% de las víctimas notificaron pérdida de datos críticos, y el 40% admitió haber considerado el pago de rescate ante la falta de backups válidos. Además, algunas compañías sufrieron filtraciones adicionales, ya que los atacantes exfiltraban información sensible antes del cifrado, aplicando el modelo de doble extorsión.
Las consecuencias legales bajo GDPR y la directiva NIS2 (que entrará en vigor en octubre de 2024) podrían derivar en sanciones significativas, especialmente si se demuestra negligencia en la gestión de la ciberseguridad básica.
Medidas de Mitigación y Recomendaciones
Las autoridades y los CERT recomiendan adoptar una estrategia de defensa en profundidad, centrada en los siguientes aspectos:
– Parcheado inmediato de sistemas expuestos (especialmente RDP y VPN) y desactivación de servicios innecesarios.
– Implementación de doble factor de autenticación (MFA) en todos los accesos remotos.
– Segmentación de red y restricción de privilegios de usuario.
– Monitorización activa de logs y detección de anomalías en el tráfico interno.
– Realización de copias de seguridad periódicas, almacenadas fuera de línea y probadas regularmente.
– Campañas de concienciación sobre phishing dirigidas a empleados.
La utilización de herramientas EDR/XDR y la configuración de reglas específicas para la detección de los IoC asociados a Diskstation son medidas recomendadas para los equipos SOC y los MSSP.
Opinión de Expertos
Expertos en ciberinteligencia, como Luca Allievi (CTI Lead en Securonix), subrayan que “el rápido desmantelamiento de Diskstation es una señal positiva, pero la proliferación de grupos similares en Europa del Este sigue siendo un reto para las empresas”. Desde la consultora Deloitte, advierten: “El ransomware sigue evolucionando hacia modelos de RaaS (Ransomware-as-a-Service), lo que multiplica el número de actores y la frecuencia de ataques, incluso contra targets medianos”.
Implicaciones para Empresas y Usuarios
El caso Diskstation amplía el debate sobre la resiliencia corporativa y la obligatoriedad de notificación ante incidentes graves. Las compañías deben revisar sus políticas de respuesta y simulacros de crisis, asegurando que cumplen con los requisitos de GDPR y anticipando las exigencias de NIS2 en cuanto a reporte y gestión de riesgos.
Para los usuarios finales, la principal implicación es la posible exposición de datos personales y la interrupción de servicios, además de la necesidad de exigir mayores estándares de seguridad a sus proveedores.
Conclusiones
La desarticulación de Diskstation refuerza la importancia de la cooperación internacional en la lucha contra el cibercrimen, pero también pone de manifiesto la urgencia de mejorar la postura de seguridad en sectores vulnerables. Solo una combinación de tecnología, formación y procesos robustos permitirá mitigar los riesgos crecientes del ransomware.
(Fuente: www.bleepingcomputer.com)