Durante años con sede en Rusia Las pandillas de ransomware han lanzado ataques paralizantes contra empresas, hospitales y organismos del sector público, extorsionando a las víctimas por cientos de millones de dólares y causando trastornos incalculables. Y lo hicieron con impunidad, pero no más. Hoy, como parte de una campaña para acabar con las pandillas de ransomware, los gobiernos del Reino Unido y EE. UU. expusieron a algunos de los delincuentes detrás de los ataques.
En una medida inusual, las autoridades sancionaron a siete presuntos miembros de notorias bandas de ransomware y dieron a conocer sus nombres reales, fechas de nacimiento, direcciones de correo electrónico y fotos. Se cree que los siete ciberdelincuentes nombrados pertenecen a los grupos de ransomware Conti y Trickbot, que están relacionados y, a menudo, se denominan conjuntamente Wizard Spider. Además, el Reino Unido y los EE. UU. ahora denuncian explícitamente los vínculos de Conti y Trickbot con la inteligencia rusa.
“Al sancionar a estos ciberdelincuentes, les enviamos una señal clara a ellos y a otras personas involucradas en el ransomware de que serán responsables”, dijo el secretario de Relaciones Exteriores británico, James Cleverly, en un comunicado el jueves. “Estos ciberataques cínicos están causando un daño real a la vida y el sustento de las personas”.
Los siete pandilleros nominados por los dos gobiernos son: Vitaly Kovalev, Maksim Mikhailov, Valentin Karyagin, Mikhail Iskritskiy, Dmitry Pleshevskiy, Ivan Vakhromeyev y Valery Sedletski. Todos los miembros tienen identificaciones en línea, como Baget y Tropa, que usaron para comunicarse entre ellos sin usar sus identidades reales.
El jueves, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido dijo que era “muy probable” que los miembros del grupo Conti tuvieran vínculos con los “servicios de inteligencia rusos” y que esas agencias “probablemente” hayan dirigido algunas de las acciones. de la pandilla El NCSC es parte de la agencia de inteligencia británica GCHQ, y esta es la primera vez que el Reino Unido sanciona a los delincuentes de ransomware.
Del mismo modo, el Departamento del Tesoro de EE. UU. concluyó que los miembros del grupo Trickbot están “asociados con la inteligencia rusa”. Agregó que las acciones del grupo en 2020 estaban alineadas con los intereses internacionales de Rusia y “los objetivos previos de la inteligencia rusa”.
Según el Tesoro de los EE. UU., estos miembros estuvieron involucrados en el desarrollo de malware y ransomware, lavado de dinero, fraude, inyección de código malicioso en sitios web para robar credenciales de inicio de sesión y roles de administración. Como parte de las sanciones, el Reino Unido congeló los activos pertenecientes a los actores del ransomware y les impuso prohibiciones de viaje. El Tribunal de Distrito de EE. UU. para el Distrito de Nueva Jersey también emitió una acusación acusando a Vitaliy Kovalev de conspiración para cometer fraude bancario y ocho cargos de fraude bancario contra instituciones financieras de EE. UU. en 2009 y 2010.
Los gobiernos han tenido problemas para controlar la creciente amenaza del ransomware, en gran parte porque muchos grupos criminales operan en Rusia. El Kremlin ha brindado un refugio seguro para estos malos actores, siempre que no tengan como objetivo a las empresas rusas. El año pasado, luego de una serie de ataques particularmente agresivos y perjudiciales contra objetivos de EE. UU. y el Reino Unido, las fuerzas del orden rusas arrestaron a más de una docena de presuntos miembros de la notoria banda de ransomware REvil. Pero Rusia siguió siendo el punto de origen de una serie de actividades delictivas cibernéticas, incluidos los ataques de ransomware.