“El problema criminal ruso no va a ninguna parte. De hecho, ahora probablemente esté más cerca que nunca de los servicios de seguridad”, dice John Hultquist, analista jefe de Google Cloud para Mandiant Intelligence. «En realidad, están llevando a cabo ataques y haciendo cosas que benefician a los servicios de seguridad, por lo que los servicios de seguridad tienen todo el interés en protegerlos».
Los analistas han concluido repetidamente que los ciberdelincuentes que trabajan en Rusia tienen conexiones con el Kremlin. Y estas conexiones se han vuelto cada vez más claras. Cuando el Reino Unido y Estados Unidos sancionaron a los miembros de Trickbot y Conti en febrero, ambos países dijeron que los miembros estaban asociados con “servicios de inteligencia rusos”. Agregaron que era «probable» que algunas de sus acciones fueran dirigidas por el gobierno ruso y que los delincuentes eligieran al menos a algunas de sus víctimas basándose en «objetivos previamente realizados por los servicios de inteligencia rusos».
Los registros de chat incluidos en los datos de Trickleaks ofrecen una visión poco común de la naturaleza de estas conexiones. En 2021, dos presuntos miembros de Trickbot, Alla Witte y Vladimir Dunaev, comparecieron ante tribunales estadounidenses acusados de delitos cibernéticos. En noviembre de 2021, según el análisis de Nisos, los chats de Trickleaks muestran que los miembros estaban preocupados por su seguridad y entraron en pánico cuando sus propias billeteras de criptomonedas ya no eran accesibles. Pero alguien que usó el identificador Silver, supuestamente un miembro senior de Trickbot, ofreció tranquilidad. Si bien el Ministerio del Interior ruso estaba “en contra” de ellos, dijeron, las agencias de inteligencia estaban “a nuestro favor o neutrales”. Agregaron: «El jefe tiene las conexiones adecuadas».
El mismo mes, el identificador de Manuel, vinculado a Galochkin, dijo que creía que el líder de Trickbot, Stern, había estado involucrado en delitos cibernéticos “desde 2000”, según el análisis de Nisos. Otro miembro, conocido como Angelo, respondió que Stern era “el vínculo entre nosotros y los rangos/jefe de departamento del FSB”. Las filtraciones anteriores de Conti también indicaron algunos vínculos con los servicios de inteligencia y seguridad de Rusia.
Lo de siempre
A pesar de un esfuerzo global concertado para interrumpir la actividad cibercriminal rusa mediante sanciones y acusaciones, bandas como Trickbot siguen prosperando. «Han cambiado menos de lo que parece», dice Ole Villadsen, analista senior del grupo de seguridad X-Force de IBM. Señala que muchos miembros de Trickbot y Conti todavía están activos, continúan comunicándose entre ellos y están utilizando infraestructura compartida para lanzar ataques. Las facciones del grupo “continúan colaborando entre bastidores”, dice Villadsen.
Burns Koven, de Chainalysis, dice que la empresa ve las mismas relaciones de larga data reflejadas en los datos de su billetera de criptomonedas. «Desde la diáspora de los Conti, todavía podemos ver la interconectividad financiera entre la vieja guardia», dice. «Todavía existen algunas relaciones simbióticas».
Disuadir el delito cibernético es difícil en diferentes jurisdicciones y bajo una variedad de condiciones geopolíticas. Pero incluso con una influencia limitada en Rusia (donde hay pocas posibilidades de que las fuerzas del orden occidentales arresten a personas, y mucho menos las extraditen), los esfuerzos por identificar y avergonzar a los ciberdelincuentes pueden tener un impacto. Holden, el investigador de Trickbot desde hace mucho tiempo, dice que los miembros de Trickbot han tenido reacciones encontradas al ser desenmascarados. “Algunos de ellos se jubilaron, algunos cambiaron sus apodos; a algunos básicamente no les importó porque la comunidad no se vio significativamente afectada”, dice Holden. Pero, añade, exponer las identidades de las personas puede significar que “no sean bienvenidos” en sus comunidades.
Vasovic, director ejecutivo de Cybernite Intelligence, dice que cuando la cuenta Trickleaks comenzó a publicar en Twitter, también publicó fotografías de Galochkin para exponer su identidad. Junto con otros investigadores de ciberseguridad que denunciaron a los delincuentes de ransomware, Vasovic recibió amenazas de violencia y acoso en línea tras sus revelaciones. Los correos electrónicos y mensajes de chat privados que compartió con WIRED parecen mostrar a una persona desconocida, que afirmó trabajar para múltiples grupos de delitos cibernéticos anónimos, amenazando no solo a Vasovic sino también a su familia.
“Intentan infundir miedo. Y si funciona, funciona. Y si no es así, no es así”, afirma Vasovic. De hecho, la persona que pronunció las amenazas afirmó a Vasovic que ya había sido acusado y que ya no podía llevar a su esposa e hija de vacaciones al extranjero. La persona también afirmó que en un momento dado había sido interrogado por investigadores rusos durante dos horas específicamente sobre Trickbot, antes de ser liberado. Sin embargo, la persona todavía parecía sentirse segura de que podía amenazar a Vasovic desde dentro de las fronteras de Rusia con impunidad. “Nadie será enviado a Estados Unidos”, alardeaban. «No hay riesgo por aquí».