La policía cierra 100 servidores vinculados al NoName057(16) ruso y arresta a dos personas

En una operación coordinada esta semana, las fuerzas del orden de una docena de países se unieron para intentar desmantelar la infraestructura del grupo de hackers prorruso conocido como NoName057(16) . La operación, denominada Eastwood, fue liderada por Europol y Eurojust e incluyó acciones en toda Europa y Norteamérica.

NoName057(16) es conocido por inundar sitios web con tráfico mediante ataques de denegación de servicio distribuido (DDoS) con motivos políticos. Sus objetivos habituales van desde plataformas del gobierno ucraniano hasta sitios web críticos en países de la OTAN que apoyan a Ucrania.

Si bien muchos de sus atacantes fueron disruptivos, rara vez causaron daños duraderos gracias a la rápida mitigación por parte de las organizaciones objetivo. Cabe destacar que este grupo no dependía de hackers de élite con técnicas avanzadas. En cambio, su fuerza residía en su número. Los investigadores encontraron más de 4000 personas involucradas, muchas de ellas rusoparlantes con conocimientos técnicos limitados.

El grupo dependía en gran medida de herramientas de automatización y tácticas gamificadas para reclutar y motivar a sus seguidores. Algunos fueron atraídos mediante pagos en criptomonedas y menciones al estilo de las tablas de clasificación, lo que convirtió los ciberataques en una especie de deporte competitivo.

Según el comunicado de prensa de Europol, durante la operación conjunta, realizada entre el 14 y el 17 de julio, más de 100 servidores conectados a las operaciones del grupo fueron desconectados. Las autoridades también realizaron 24 registros domiciliarios en siete países, interrogaron a 13 personas y realizaron dos detenciones en Francia y España.

Alemania, un objetivo importante de la actividad del grupo, emitió seis órdenes de arresto. Estas incluyen a dos personas acusadas de ser figuras centrales en las operaciones de NoName057(16). Se han emitido siete órdenes de arresto en total, todas vinculadas a ciudadanos rusos que ahora son buscados internacionalmente.

Desde su aparición, NoName057(16) también atacó a países que respaldaban a Ucrania con apoyo militar o diplomático. Solo en Alemania, 14 oleadas de ataques DDoS desde finales de 2023 han afectado a más de 250 organizaciones. Se reportaron intentos similares durante importantes eventos políticos en Suiza y los Países Bajos, incluyendo la cumbre de la OTAN y la Cumbre de Paz de Ucrania de 2024.

Los investigadores también tomaron una vía diferente para presionar a los participantes de bajo nivel. Más de 1000 simpatizantes de la red recibieron advertencias oficiales a través de aplicaciones de mensajería, y 15 de ellos fueron marcados como administradores. Los mensajes les recordaron su responsabilidad legal individual según las leyes nacionales.

Las autoridades también han señalado que NoName057(16) no necesita una cadena de mando tradicional para seguir funcionando. En su lugar, utilizaron una combinación de aplicaciones de mensajería, redes sociales y foros en línea para difundir guías de ataque, actualizaciones y propaganda. Estos canales también reclutaron a personas, a menudo provenientes de comunidades de videojuegos o de hackers de bajo nivel.

Aunque la Operación Eastwood ha desbaratado la infraestructura de NoName057(16), esto no significa que el grupo esté acabado. Los grupos con sede en Rusia tienen un historial de cambiar de nombre o reagruparse y continuar sus ataques.