Cayó banda que robaba cuentas bancarias operando «troyano» con IP desde Venezuela, Ecuador, Colombia y EE. UU.

Fiscales de ocho departamentos judiciales de la provincia de Buenos Aires y medio millar de efectivos de la Policía Federal se desplegaron por todo el país para golpear en 64 puntos relacionados con la operatoria de una organización cibercriminal que ingresó en las computadoras de empresas, laboratorios, un colegio y hasta el Círculo de la Policía Bonaerense con un “troyano” de origen brasileño que les abrió el camino para poder vaciarles las cuentas bancarias. 

El monto del desfalco asciende a 1500 millones de pesos. Hasta el momento, se recuperaron más de 170.000 dólares.

Los ciberestafadores operaban desde IP radicadas en Venezuela, Ecuador, Colombia y Estados Unidos. Se realizaron 20 detenciones en el país y se ordenaron otras diez en el exterior; sobre nueve de esos buscados pesan alertas rojas de Interpol. El restante, el venezolano Francisco Javier Uribe Urdaneta, fue arrestado en territorio norteamericano, desde donde operaba, y la Justicia argentina pedirá su extradición.

Según precisaron fuentes del Ministerio de Seguridad de la Nación y de la Procuración General bonaerense, la organización cibercriminal sustrajo 45 millones de pesos al Círculo de Policía de Buenos Aires; 129 millones de pesos a Laboratorio Farmas, de Quilmes; 159 millones a una empresa de Bahía Blanca, y 112 millones al Colegio Saint George, de Quilmes. Con ese dinero, posteriormente, adquirieron criptomonedas USDT a través de Binance que luego giraron a billeteras virtuales radicadas en el exterior.

Los 64 allanamientos simultáneos en las provincias de Buenos Aires, Misiones, Entre Ríos, Chaco, Santa Fe, Tucumán, Río Negro y la Ciudad Autónoma de Buenos Aires fueron ejecutados hoy por más de 500 efectivos de la División de Delitos Tecnológicos de la Policía Federal Argentina, dependiente de la Superintendencia de Investigaciones, a cargo del comisario mayor Martín De Cristóbal; la Oficina Central Nacional de INTERPOL y la Dirección Nacional de Inteligencia Criminal (Dinic) del Ministerio de Seguridad de la Nación.

Actuaron en el marco de 16 investigaciones penales preparatorias (IPP) a cargo de 10 Unidades Funcionales de Instrucción (UFI) de ocho departamentos judiciales bonaerenses: Junín, San Martín, San Nicolás, Bahía Blanca, La Plata, San Isidro, Azul y Quilmes.

Los voceros destacaron la colaboración prestada por los exchanges Binance y Lemon, que pusieron a disposición tanto la información contenida en sus bases de datos como especialistas de sus áreas de fraude para asistir en el análisis de la información en conjunto con peritos del Departamento de Ciberdelitos.

“Las investigaciones tuvieron su origen en ataques de malware que infectaron las computadoras de las víctimas, provocando operaciones bancarias fraudulentas, dinero que posteriormente fue transformado en criptomonedas y girado al exterior. El procedimiento permitió la incautación de criptoactivos (por aproximadamente US$170.000), generándose billeteras descentralizadas bajo el control de los fiscales intervinientes. Además, se logró el secuestro de un millón de pesos, 300 dólares, 30 computadoras, 100 teléfonos celulares, tarjetas de memoria, pendrives, tarjetas SIM, consolas de videojuegos, tarjetas de crédito, armas de fuego y droga. Fueron identificadas 70 personas, de las cuales 20 resultaron detenidas en el territorio argentino, y se emitieron 9 detenciones internacionales con Alerta Roja de Interpol para ciudadanos residentes en Brasil, Venezuela, Ecuador, México, Colombia y Estados Unidos”, se informó en un comunicado de la Procuración General de la provincia de Buenos Aires.

Coordinaron el operativo el equipo de investigadores de Criptoactivos del Departamento de Ciberdelitos y Tecnologías Aplicadas de la Procuración General bonaerense, dirigido por Gisela Burcatt, dependiente de la Secretaría de Política Criminal, Coordinación Fiscal e Instrucción Penal, a cargo de Francisco Pont Verges. La dirección operativa estuvo a cargo del coordinador del equipo de investigadores de criptoactivos, Rafael García Borda, con la asistencia de María Sol Cinosi, María Celeste Seguí y los peritos Sergio Carriquiriborde y Horacio Martino.

El modus operandi

En el comunicado se describió el funcionamiento general de la maniobra de fraude:

  • La víctima, que posee el manejo de una “cuenta empresa”, por ser la dueña de la empresa o tesorero, apoderado, etc., recibe un documento o link malicioso, muchas veces disfrazado de información habitual para la empresa o asociación, como ser un presupuesto o curriculum vitae. Al ingresar en ellos caen en una trampa silenciosa y de acción retardada, ya que este tipo de malware se descarga lentamente y por partes en la computadora infectada, circunstancia que impide a la mayoría de los firewall detectarlo.
  • Una vez infectada la PC, cuando la propia víctima ingresa a su homebaking le aparece una pantalla que requiere la validación de una contraseña, lo que hace que pierda el control de su computadora. Cuando la víctima recobra el control, advierte que su cuenta bancaria fue vaciada mediante una o varias transferencias a terceros desconocidos, dinero que luego es utilizado para comprar criptomonedas.
  • La mayoría de los malware detectados se asimilan a un troyano de origen brasileño llamado Grandoreiro, que resulta ser un Troyano de Acceso Remoto (RAT, según sus siglas en inglés), diseñado con el objetivo principal de tomar el control del equipo víctima y hacer transferencias de dinero a cuentas manejadas por los ciberdelincuentes. Una vez instalado el software malicioso en el equipo de la víctima, el ciberdelincuente operador del RAT supervisa la actividad del usuario y aprovecha el momento en el cual navega en su homebanking para mostrarle una imagen que simula estar actualizando el equipo. Detrás de esta imagen, el operador toma el control del homebanking y realiza el proceso de transferencia de dinero a cuentas mulas.
  • Otros de los datos característicos relevantes fue la implicancia del P2P (Peer to Peer), que permite a los usuarios intercambiar criptoactivos entre sí. Los ciberdelincuentes utilizaron directamente el dinero sustraído para comprar USDT –criptoactivos respaldados cada uno a valor de un dólar norteamericano que se mantiene en las reservas de Tether Limited y se puede canjear a través de la plataforma Tether). Esos USDT eran adquiridos a diversos traders en nombre de la propia víctima.

NotiVeraz

Facebook
Twitter
LinkedIn
WhatsApp
Email
WP Twitter Auto Publish Powered By : XYZScripts.com