Reino Unido y EEUU sancionaron a miembros del grupo de ransomware Trickbot

0
691

En un informe a principios de mes, la empresa de análisis e investigación blockchain, Chainalysis, informó que la Oficina de Implementación de Sanciones Financieras (OFSI, «por sus siglas en inglés») del Tesoro de Reino Unido y la Oficina de Control de Activos Extranjeros (OFAC, «por sus siglas en inglés») de Estados Unidos, habían impuesto sanciones conjuntas contra once personas más, pertenecientes al grupo de ransomware Trickbot Group con sede en Rusia.

Los miembros de la organización cibercriminal Trickbot Group, están detrás del despliegue de varias cepas de ransomware, incluidas Ryuk, Conti, Diavol y Karakurt, las cuales han sido responsables de al menos 833 millones de dólares en extorsión con criptomonedas a grandes entidades públicas a lo largo de su vida.

Las sanciones de la OFSI y la OFAC, golpearon en el sistema financiero internacional a actores conocidos como Mikhail Tsarev aliasMango, Maksim Galochkin, también conocido con el alias “Bentley, “Cripta” o “Volhvb” y Maksim Rudenskiy alias “Buza”, “Silver” o “Binman”, junto con otros miembros de la organización cibercriminal dedicada a la ciberextorsión con criptomonedas.

Los miembros designados en esa sanción abarcan una variedad de equipos y roles dentro de Trickbot, lo que destaca la estructura organizacional del grupo. Las personas que aparecen sancionadas incluyen funciones de administración, pruebas, ofuscación y desarrollo.

Según Chainalysis, Mikhail Tsarev alias “Mango”, es un destacado líder de equipo y la mano derecha del líder de Trickbot Group, Stern, y ocupa un lugar importante en los chats de Conti filtrados, así como en la cadena de bloques.

Incluso, Mango recibió millones de dólares en criptomonedas de Stern derivados de las ganancias del ransomware. Podemos ver a Mango desembolsando Bitcoin a varios departamentos a cambio de salarios y equipos para mantener a Trickbot Group en funcionamiento.

Mientras que, Maksim Galochkin alias “Bentley”, “Cripta” o “Volhvb”, es un contacto frecuente de Mango y fue el líder técnico de Trickbot y BazarBackdoor, otro tipo de malware utilizado por el grupo. De hecho, Bentley dirigió el equipo de cifrado, que es responsable de los procesos de ocultación de malware para evitar la detección de antivirus en las máquinas víctimas.

Asimismo, Bentley, es encargado de solicitar pagos por la infraestructura de servidores y para pagar a los empleados que los mantienen. Bentley y muchos de los otros actores que aparecen en la sanción han utilizado fondos para realizar pagos en criptomonedas para infraestructura como alojamiento a prueba de balas, alojamiento de servidores privados virtuales o servicios como cifrado, verificación AV y desembolsos de salarios.

Por su parte, Maksim Rudenskiy alias “Buza”, “Silver” o “Binman”, es otro líder tecnológico que gestiona desarrolladores y participa en la contratación y la distribución de pagos para el equipo. De igual forma, está involucrado en criptadores, cargadores y criptografía, la técnica de cifrado detrás del ransomware de la organización.

El resto, de los sancionados, son: Andrey Zhuykov, también conocido como “Defensor” o “DIF”, Dmitry Putilin, también conocido como “Grad” y “Staff”, Maksim Khaliullin, también conocido como “Kagas”, Serguéi Loguntsov, también conocido como “Begemot”, Alexander Mozhaev, también conocido como “Verde o “Rocco”, Vadym Valiakhmetov, también conocido como “Weldon”, “Mentos” o “Vasm, Artem Kurov, también conocido como “Naned y Mikhail Chernov, también conocido como Bullet”.

Aunque, la OFSI y la OFAC no incluyeron direcciones de criptomonedas específicas asociadas a los cibercriminales de Trickbot Group, en su anuncio, la empresa Chainalysis tiene identificadas y clasificadas las criptobilleteras vinculadas a las personas sancionadas.

El Trickbot Group, es una organización cibercriminal rusa que fue identificada por primera vez en 2016 por investigadores de seguridad, la cual se encuentra entre las organizaciones de delitos cibernéticos con mayores ganancias en criptomonedas en el mundo, después del Lazarus Group de Corea del Norte que es el líder indiscutible del mundo cibercriminal.

Trickbot como tal, era un virus troyano que evolucionó a partir del troyano Dyre. Dyre era un troyano bancario en línea operado por personas con sede en Moscú, Rusia, que comenzó a atacar a empresas y entidades no rusas a mediados de 2014. Dyre y Trickbot fueron desarrollados y operados por un grupo de ciberdelincuentes para robar datos financieros.

Trickbot Group no sólo está establecido en Rusia, sino que también posee serios vínculos con los servicios de inteligencia de ese país. Además, es un conocido colaborador de otras entidades de ciberdelincuencia con sede en territorio ruso.

Desde entonces, ha evolucionado hasta convertirse en un conjunto de malware altamente modular que proporciona al Trickbot Group la capacidad de realizar una variedad de actividades cibernéticas ilegales, incluidos ataques de ransomware.

De hecho, las cepas de ransomware asociadas con Trickbot Group han infectado millones de dispositivos en todo el mundo, incluidas computadoras pertenecientes a hospitales y centros de salud “incluso durante el apogeo de la pandemia de COVID-19 en 2020”, los cuales han sido uno de los sectores más golpeados por este tipo de ciberataques en la mayoría de los países del mundo.

Estas sanciones forman parte de otras sanciones conjuntas que la OFSI de Reino Unido y la OFAC de Estados Unidos ya habían introducido contra siete actores principales de Trickbot a principios de este año.

En aquella oportunidad, el subsecretario del Tesoro, Brian E. Nelson, dijo: “Los ciberdelincuentes, en particular los que tienen su base en Rusia, buscan atacar infraestructura crítica, atacar empresas estadounidenses y explotar el sistema financiero internacional”, y agregó: “Estados Unidos está tomando medidas hoy en asociación con el Reino Unido porque la cooperación internacional es clave para abordar el cibercrimen ruso”.

Pero en esta oportunidad, Rob Jones, Director General de Operaciones de la Agencia Nacional contra el Crimen de Reino Unido (NCA, «por sus siglas en inglés»), dijo: “Estas sanciones son una continuación de nuestra campaña contra los ciberdelincuentes internacionales. Los ataques de este grupo de ransomware han causado daños importantes a las empresas y arruinado los medios de vida, y las víctimas han tenido que lidiar con el impacto prolongado de las pérdidas financieras y de datos”.

Y añadió: “Las criptomonedas son un método de pago preferido dentro del ecosistema cibercriminal en línea y una parte vital del modelo de negocio que permite a los actores del ransomware extorsionar a las víctimas”.

“Sin embargo, las criptomonedas también ofrecen oportunidades de investigación para las fuerzas del orden y trabajamos estrechamente con socios del sector público y privado para explotar estas oportunidades en nuestra lucha contra el cibercrimen internacional”, dijo Jones.

El ransomware es uno de los problemas más frecuentes en el delito cibernético en el mundo, gracias a su relativa facilidad y posibilidades de manejo de enormes sumas de criptomonedas gracias a la extorsión.

Este ciberdelito durante 2023, ha representado al menos 449,1 millones de dólares en fondos extorsionados entre enero y junio, de acuerdo con datos de Chainalysis, lo cual lo hace una actividad muy redituable para estos grupos de cibercriminales.

Aunque los ciberdelincuentes que se dedican al ransomware prefieren cobrar sus recompensas en bitcoin (BTC) por su facilidad, al quedar las transacciones registradas en la cadena de bloques pública de la principal criptomoneda del mercado, también es más fácil para las autoridades seguir el rastro de pagos, así como también las conversiones a otras criptodivisas, tokens y monedas fiduciarias que dejan estos actores del mundo cibercriminal.

Esto ayuda a las agencias policiales y de cumplimiento de la ley, en su lucha para contrarrestar el ciberdelito del ransomware y cazar a sus actores, pero también a sus relacionados, sus activos y su actividad en línea, gracias a poderosas herramientas de análisis de datos en las cadenas de bloques.

Las herramientas de análisis blockchain actuales, son capaces de identificar a los actores detrás del ransomware y otros ataques cibernéticos, lo que a su vez ayuda a las autoridades a interrumpir el flujo operativo y la cadena de suministro de toda la red, así como también imponerles sanciones.

Advertencia "La inversión en criptoactivos no está regulada, puede no ser adecuada para inversores minoristas y perderse la totalidad del importe invertido"