Los Estados Unidos El Departamento del Tesoro y el Ministerio de Asuntos Exteriores del Reino Unido anunciaron hoy que han sancionado a 11 personas por su presunta implicación en la banda cibercriminal Trickbot. El Departamento de Justicia de Estados Unidos también reveló acusaciones contra nueve personas que, según dice, están relacionadas con Trickbot y su organización hermana Conti. Siete de esos nueve también aparecen en la lista de sanciones de hoy.
Las fuerzas del orden de Estados Unidos y el Reino Unido, en colaboración con funcionarios de todo el mundo, han realizado un esfuerzo concertado en los últimos años para disuadir los delitos cibernéticos, en particular los ataques de ransomware y los lanzados por actores con sede en Rusia. Y Trickbot, una pandilla notoria y prolífica, ha sido repetidamente un objetivo específico de estas acciones. En febrero, Estados Unidos y el Reino Unido anunciaron sanciones contra siete presuntos actores de Trickbot y una acusación contra ellos.
La nueva ronda de censuras incluye a presuntos miembros de Trickbot acusados de actuar como codificadores y administradores del grupo, así como al personal superior, al líder del equipo de desarrolladores y a un gerente de recursos humanos y finanzas. Las sanciones también nombran al presunto jefe de pruebas de Trickbot para el malware y la infraestructura técnica de la pandilla. Este individuo, Maksim Galochkin, se hace llamar Bentley, entre otros. WIRED identificó a Galochkin la semana pasada como parte de una extensa investigación sobre Trickbot y sus operaciones.
El Departamento de Justicia anunció hoy tres acusaciones que incluyen a Galochkin. Uno en el Distrito Norte de Ohio, presentado el 15 de junio, lo acusa a él y a otros 10 presuntos miembros de Trickbot de “conspirar para usar el malware Trickbot para robar dinero e información personal y confidencial de víctimas desprevenidas, incluidas empresas e instituciones financieras ubicadas en los Estados Unidos”. Estados Unidos y en todo el mundo, a partir de noviembre de 2015”. Este cronograma significa que los cargos se relacionan esencialmente con toda la actividad de Trickbot desde el inicio del grupo.
Una acusación del Distrito Medio de Tennessee, presentada el 12 de junio, acusa a Galochkin y a otras tres personas del uso del ransomware Conti en ataques dirigidos a “empresas, organizaciones sin fines de lucro y gobiernos de los Estados Unidos” entre 2020 y junio de 2022. Y una acusación en El Distrito Sur de California, presentado el 14 de junio, acusa a Galochkin en relación con el ataque de ransomware Conti del 1 de mayo de 2021 a Scripps Health.
«El anuncio de hoy muestra nuestro compromiso continuo de llevar ante la justicia a los ciberdelincuentes más atroces: aquellos que se han dedicado a infligir daño al público estadounidense, a nuestros hospitales, escuelas y empresas», dijo el jueves el director del FBI, Christopher Wray, en un comunicado. “Los ciberdelincuentes saben que utilizaremos todas las herramientas legales a nuestra disposición para identificarlos, perseguirlos incansablemente e interrumpir su actividad delictiva. Nosotros, junto con nuestros socios federales e internacionales, seguiremos imponiendo costos a través de operaciones conjuntas sin importar dónde intenten esconderse estos criminales”.
Ha sido difícil para las fuerzas del orden a nivel mundial avanzar en la disuasión de la actividad cibercriminal, especialmente cuando los actores tienen su base en países como Rusia que les permiten operar con impunidad. Pero investigadores independientes dicen que imponer responsabilidad pública sí tiene impactos en los individuos así como en el panorama criminal más amplio.
Los ciberdelincuentes «a menudo piensan que pueden realizar ataques cibernéticos contra corporaciones e individuos bajo el anonimato», dice Landon Winkelvoss, vicepresidente de investigación de la firma de inteligencia digital Nisos, que llevó a cabo una investigación detallada de la identidad de Bentley en el mundo real a pedido de WIRED. Pero «todos cometen errores y la naturaleza misma de sus crímenes requiere que su huella digital esté en la naturaleza».
Winkelvoss señala que si bien los ciberdelincuentes han sistematizado estrategias para mantener su seguridad operativa y mantenerse fuera del centro de atención, sus esfuerzos por permanecer invisibles están lejos de ser infalibles.
«La reutilización de servidores y selectores de infraestructura de comando y control, como direcciones de correo electrónico y números de teléfono, suele ser el retorno más rápido de su inversión», afirma Winkelvoss. «Desafortunadamente para ellos, esto hace que desenmascarar sea relativamente sencillo, especialmente cuando las fuerzas del orden y la industria privada [have] más datos disponibles públicamente que ellos”.