¡Por fin capturado! La caída de Armaged0n
Representación artística de Armaged0n trabajando en sus campañas maliciosas
Historia de un Cibercriminal
Escribimos por primera vez sobre Armaged0n en Niebezpiecznik hace 6 años, en septiembre de 2012, cuando se hacía pasar por Allegro a través del sitio web odzyskaj-allegro.tk. No solo buscaba robar contraseñas de cuentas, sino también infectar a las víctimas con malware.
Bajo aquel artículo, alguien usando el apodo Armaged0n comentó felicitándonos por haber notado que no era un simple phishing. El autor de la campaña maliciosa confirmó en ese comentario nuestras sospechas: que también era responsable de anteriores campañas suplantando la marca Kaspersky.
Además, compartió la efectividad de sus ataques, publicando un enlace a una captura de pantalla que resumía los resultados (ese enlace todavía funcionaba en el momento de escribir el artículo).
No fue un movimiento muy inteligente de su parte, ya que en la captura se ve claramente que tenía una conversación abierta en Skype con un tal Filip Tujaka, quien resultó ser el hermano de Tomasz.
Sus actividades criminales
Desde 2013 hasta 2018, Armaged0n llevó a cabo diversas campañas maliciosas. Inicialmente se limitaba a suplantar entidades confiables como Allegro, Kaspersky, PayU o InPost mediante correos electrónicos fraudulentos que conducían a sitios falsificados. Su objetivo era simple: obtener credenciales bancarias o infectar dispositivos.
Luego evolucionó. Sus campañas no solo robaban datos, sino que también instalaban malware diseñado para:
- Modificar números de cuenta bancaria en transferencias electrónicas.
- Infectar el navegador y robar cookies o sesiones.
- Propagar ransomware (notablemente Vortex y Floter).
En los casos de ransomware, después del cifrado de archivos, se solicitaba el pago de un rescate que rondaba entre 200 y 400 dólares en Bitcoin.
Además, ofrecía en foros clandestinos "kits" de infección, botnets y troyanos personalizados bajo el nombre de usuario the.xAx.
Ejemplo de correo electrónico falso enviado por Armaged0n haciéndose pasar por InPost
El volumen de sus campañas
Entre 2012 y 2018, Niebezpiecznik detectó más de 50 campañas distintas relacionadas a Armaged0n.
Se estima que infectó a miles de usuarios, aunque el número exacto de víctimas podría ser mucho mayor dado que no todos reportaban sus infecciones.
Formas de propagar los ataques
Armaged0n utilizaba diversas técnicas para engañar a las víctimas:
- Correos electrónicos de phishing.
- Páginas web falsificadas.
- Archivos adjuntos contaminados (especialmente documentos Word o archivos ZIP).
- Enlaces a sitios web maliciosos disfrazados de servicios populares.
No era particularmente sofisticado en términos técnicos, pero sí muy insistente, lanzando campañas de manera masiva y frecuente.
Su captura final
Gracias a un procedimiento denominado "European Investigation Order" (EIO), la policía polaca pudo solicitar a las autoridades belgas cooperación directa.
Se efectuó un registro en su domicilio, donde se incautaron:
- Computadoras.
- Discos duros externos.
- Dispositivos móviles.
- Documentos y otros elementos digitales.
Se recopiló evidencia que confirmaba su implicación directa en campañas de malware y extorsión mediante ransomware.
Impacto financiero
Las pérdidas ocasionadas por las actividades de Armaged0n se estiman en más de 500,000 PLN (zlotys polacos).
Adicionalmente, sus ataques provocaron:
- Pérdidas de acceso a datos personales y empresariales.
- Costes de recuperación de sistemas infectados.
- Pagos de rescates en Bitcoin.
- La cooperación internacional es vital contra el cibercrimen.
- Incluso delincuentes relativamente hábiles pueden cometer errores fatales.
Enlaces de interés
- Niebezpiecznik - Blog de seguridad informática
- Policía de Polonia - Departamento de Cibercrimen
- Cómo protegerse del phishing
- Los 10 errores más comunes de seguridad online
- Historia del Ransomware en Polonia