AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Operación Eastwood: Golpe internacional a NoName057(16), pero persisten sus ciberamenazas**

admin

### 1. Introducción

La operación internacional “Eastwood”, liderada por Europol y Eurojust en colaboración con las fuerzas policiales y judiciales de 12 países, ha supuesto un duro revés para la infraestructura del grupo cibercriminal pro-ruso NoName057(16). Esta acción coordinada ha derivado en la emisión de siete órdenes de detención, la realización de 24 registros domiciliarios —de los cuales 12 se practicaron en España— y el bloqueo de más de 100 servidores, destacando 42 de ellos ubicados en territorio nacional. Además, se ha procedido a la incautación de activos en criptomonedas, empleados presuntamente para financiar las actividades ilícitas del grupo. Sin embargo, expertos advierten que la amenaza de NoName057(16) persiste, adaptándose a las nuevas circunstancias y modificando sus tácticas ante la presión internacional.

### 2. Contexto del Incidente o Vulnerabilidad

NoName057(16) es un colectivo cibercriminal de perfil hacktivista y afinidad pro-rusa, conocido especialmente por sus campañas de denegación de servicio distribuida (DDoS) contra infraestructuras críticas, administraciones públicas, entidades financieras y medios de comunicación, principalmente de países percibidos como adversarios de la Federación Rusa. Desde su aparición en 2022, el grupo ha escalado su actividad, aprovechando acontecimientos geopolíticos para amplificar el impacto de sus operaciones.

La operación Eastwood surge tras un análisis coordinado de las campañas atribuidas a NoName057(16) en los últimos 18 meses, durante los cuales el grupo ha sido responsable de miles de ataques DDoS en Europa Occidental. Las investigaciones han permitido la identificación de parte de su infraestructura de mando y control (C2), así como de individuos implicados en la financiación y logística de los ataques.

### 3. Detalles Técnicos: CVE, Vectores de Ataque y TTPs

Aunque la principal táctica de NoName057(16) se basa en ataques DDoS, el grupo ha demostrado capacidad para combinar diversas técnicas y herramientas, así como para aprovechar vulnerabilidades conocidas y cero-day cuando es necesario. Entre sus TTPs destacan:

– **Vectores DDoS**: Utilizan ataques volumétricos (UDP, TCP SYN Flood, HTTP Flood), amplificación mediante servicios expuestos (DNS, NTP, CLDAP) y técnicas de reflexión.
– **Herramientas y Frameworks**: Se ha documentado el uso de bots personalizados, así como la explotación de herramientas de código abierto como LOIC, HOIC y variantes modificadas de Mirai, además de scripts propios distribuidos entre simpatizantes a través de canales de Telegram y foros clandestinos.
– **Comando y Control (C2)**: Infraestructura distribuida, con servidores localizados en múltiples jurisdicciones, empleando redes VPN y servicios de anonimización (TOR, proxies privados).
– **IoC (Indicadores de Compromiso)**: Direcciones IP de servidores C2, hashes de archivos maliciosos, URLs de distribución de scripts y wallets de criptomonedas vinculadas a pagos y donaciones.
– **MITRE ATT&CK**: Técnicas identificadas incluyen T1499 (Endpoint Denial of Service), T1583.001 (Acquire Infrastructure: Domains), T1071.001 (Application Layer Protocol: Web Protocols) y T1586 (Compromise Accounts).

No se han reportado exploits específicos de vulnerabilidades CVE en el marco de la operación, aunque el grupo ha mostrado flexibilidad para adoptar nuevas tácticas según la superficie de ataque disponible.

### 4. Impacto y Riesgos

El impacto de NoName057(16) en infraestructuras críticas y servicios esenciales ha sido significativo. Según datos de ENISA, durante 2023 los ataques DDoS han experimentado un incremento del 35% en Europa, siendo atribuidos en buena parte a colectivos como NoName057(16). Las operaciones de este grupo han provocado interrupciones en servicios bancarios, portales gubernamentales y medios, afectando la disponibilidad y causando pérdidas económicas estimadas en varios millones de euros.

El riesgo persiste en el ámbito reputacional, la interrupción de operaciones y el potencial uso de ataques DDoS como cortina de humo para acciones más sofisticadas, incluyendo intrusiones y robo de datos. Además, la financiación mediante criptomonedas dificulta el rastreo de fondos y la identificación de responsables.

### 5. Medidas de Mitigación y Recomendaciones

Ante la persistencia de la amenaza, se recomienda a las organizaciones:

– **Implementar soluciones anti-DDoS** con capacidad de mitigación en tiempo real y filtrado avanzado.
– **Actualizar inventario de IoC** y reforzar la monitorización de logs, tráfico de red y eventos sospechosos.
– **Establecer acuerdos con proveedores ISP** para escalado rápido de mitigación.
– **Realizar simulacros de respuesta ante DDoS** y formación específica al equipo SOC.
– **Auditar la exposición de servicios públicos** y limitar la superficie de ataque.
– **Colaborar con CERTs nacionales** y compartir información sobre incidentes.

### 6. Opinión de Expertos

Especialistas en ciberinteligencia, como los analistas de S21sec y el CCN-CERT, subrayan que, aunque la operación Eastwood representa un avance relevante, la infraestructura de NoName057(16) es resiliente y dispersa, permitiendo una rápida reconstitución de capacidades. “El modelo descentralizado y la comunidad activa de simpatizantes facilitan que el grupo siga operativo pese a las detenciones y bloqueos”, señala un experto del INCIBE. La cooperación internacional y la adaptación continua de las contramedidas serán claves para contener futuras oleadas de ataques.

### 7. Implicaciones para Empresas y Usuarios

Las empresas, especialmente las incluidas en el ámbito de la Directiva NIS2, deben reforzar los requisitos de ciberresiliencia y notificación temprana de incidentes. La protección frente a DDoS ya no es opcional, sino un requisito de cumplimiento normativo y estratégico. Para los usuarios, la disponibilidad de servicios críticos puede verse afectada, por lo que la concienciación y la diversificación de canales de acceso cobra especial relevancia.

### 8. Conclusiones

La operación Eastwood marca un hito en la cooperación internacional contra las amenazas cibernéticas pro-rusas, pero no supone el fin de NoName057(16). La persistencia del grupo, su adaptabilidad y la sofisticación de sus tácticas obligan a las organizaciones a mantener una postura defensiva proactiva, invertir en tecnologías de mitigación y fortalecer la colaboración público-privada. El escenario de ciberamenazas sigue evolucionando y requiere vigilancia constante.

(Fuente: www.cybersecuritynews.es)