La justicia estadounidense anunció, el martes 16 de mayo, la acusación de Mikhail Pavlovich Matveev, un ciudadano ruso de 30 años también conocido con el seudónimo de «Wazawaka», y acusado por las autoridades de complicidad con al menos tres grupos de ransomware: Babuk, LockBit y Colmena. Nombres asociados a numerosos ataques en todo el mundo dirigidos a asociaciones y autoridades locales, así como a grandes empresas.
La acusación estadounidense revelada el martes acusa en particular al Sr. Matveev de haber llevado a cabo un sonado ataque, con el grupo Babuk, contra una red policial de Washington. A continuación, se publicaron en línea documentos internos confidenciales. En entrevista con el sitio especializado El record, también afirmó haber llevado a cabo otro ataque de alto perfil contra el editor japonés de videojuegos Capcom en 2020 en nombre del grupo Ragnar Locker.
Un afiliado prolífico
Activo en varios foros de discusión frecuentados por la comunidad ciberdelincuente, «Wazawaka» es un hacker especializado en intrusión: en el ecosistema bien engrasado del ransomware, generalmente no es él quien desarrolla el virus utilizado para bloquear las máquinas de sus víctimas, sino se enfoca en cómo infectar una red para que pueda rescatar una empresa u organización. A menudo denominados «afiliados», estos especialistas llevan a cabo ataques para los desarrolladores de ransomware y comparten las ganancias en función de los modelos comerciales de los diferentes grupos. No obstante, se sospecha que Mikhail Matveev amplió sus actividades al crear conjuntamente el grupo Babuk con al menos otro hacker, así como al desarrollar un foro de discusión, llamado RAMP, diseñado para permitir que los ciberdelincuentes intercambien entre sí.
Su identidad había sido ampliamente expuesta en enero de 2022, en particular por una investigación realizada por el especialista en ciberseguridad Brian Krebs, quien había seguido los rastros digitales dejados por «Wazawaka», tanto en foros de discusión de habla rusa como durante sus actividades ilícitas. Implícitamente surgió el retrato de un veterano de la ciberdelincuencia y el cibercrimen, sospechoso de haber vendido ataques de denegación de servicio y de haber organizado estafas dirigidas a clientes de mercados de la web oscura, antes de convertirse finalmente en ataques de ransomware.
Las autoridades estadounidenses ofrecen hoy hasta diez millones de dólares de recompensa por cualquier información que pueda conducir al arresto de Mikhail Matveev, quien creen que se encuentra en suelo ruso. Al mismo tiempo, el Departamento del Tesoro colocó al sospechoso en una lista de sanciones. Esta decisión está en línea con la estrategia estadounidense de respuesta a la explosión de ataques de ransomware: las autoridades publican regularmente acusaciones contra sospechosos identificados en Rusia, tanto para enviarles una advertencia como para presionar al país. Se le acusa de hacer la vista gorda ante las actividades cibercriminales en su territorio.