Las autoridades británicas y estadounidenses continúan con su estrategia de “nombre y vergüenza” (“nombre y vergüenza”) dirigido a ciberdelincuentes y reveló, el jueves 7 de septiembre, una lista de once personas sospechosas de participar en uno de los mayores grupos de ciberdelincuentes rusos de los últimos años, a menudo llamado Trickbot o Conti, nombrando operaciones que lo hicieron famoso.
Este grupo, que probablemente opera en gran parte desde territorio ruso, donde incluso se sospecha que alquila oficinas físicas, se ha convertido en pocos años en una auténtica pyme pirata. Es conocido principalmente por dos operaciones. El primero, Trickbot, era inicialmente un troyano bancario, es decir, una herramienta utilizada para infectar ordenadores y robar credenciales bancarias que luego se utilizaban o revendían en el mercado negro. Posteriormente, Trickbot se convirtió en un auténtico conjunto de herramientas utilizado para infectar un gran número de ordenadores y posiblemente instalar otro malware en ellos. En menos de diez años, Trickbot se ha consolidado como una gran amenaza.
Más recientemente, Conti es el nombre de un ransomware que se utiliza para cifrar los archivos de uno o más ordenadores de una red informática con el fin de inutilizarlos. Luego se exige un rescate a las víctimas, que deben pagar para obtener la clave de descifrado y recuperar sus datos. Hasta 2022, el grupo era uno de los más activos y eficaces en el sector del pequeño ransomware: es conocido en particular por un importante ataque contra los servicios sanitarios irlandeses en 2021.
Una gran filtración de datos
Esta pequeña empresa de cibercrimen sufrió un duro golpe al inicio de la guerra en Ucrania con la revelación por parte de un investigador encubierto de decenas de miles de líneas de conversaciones internas entre algunos de sus miembros. Los “Conti Leaks” revelaron el funcionamiento diario de este grupo de piratas, todos identificados con seudónimos.
El jueves, las autoridades británicas y estadounidenses acudieron a poner nombres y nombres a estos alias, anunciando sanciones y prohibiciones de entrada al territorio para once personas sospechosas de participar en las actividades de Conti o Trickbot. Entre ellos se encuentra en particular “Buza”, identificado como Maksim Rudenskiy y sospechoso de ser uno de los jefes del equipo técnico de la red Trickbot. «Mango», del que se sospecha que en realidad se llama Mikhail Tsarev, también estuvo muy presente en los «Conti Leaks». Habría operado las actividades de recursos humanos del grupo cibercriminal. Según las autoridades británicas, Andrey Zhuykov, conocido con los seudónimos de «Defender» y «Adam», entre otros nombres, fue “un jugador central en el grupo y [un] administrador de alto rango ».
La declaración del gobierno británico también afirma que el grupo “mantuvo vínculos y recibió instrucciones de los servicios de inteligencia rusos”. Ya en 2022, en determinadas conversaciones presentes en Conti Leaks, uno de sus miembros explicó haber sido abordado por las autoridades rusas, que le habían pedido ayuda para espiar a un periodista de investigación que trabajaba sobre el opositor Alexei Navalny.
Por su parte, las autoridades judiciales estadounidenses han publicado tres acusaciones contra los presuntos operadores de Conti y Trickbot, en línea con la estrategia de disuasión implementada por Estados Unidos. Sabiendo que estos ciberdelincuentes, que a menudo operan detrás de las fronteras rusas, rara vez son detenidos, las autoridades estadounidenses publican periódicamente acusaciones para presionar a Rusia, acusada de hacer la vista gorda ante sus actividades. Al mismo tiempo, muestran a los responsables de los ataques de ransomware que pueden ser identificados y atacados directamente por la justicia.