Durante años, con sede en Rusia Las pandillas de ransomware han lanzado ataques paralizantes contra empresas, hospitales y organismos del sector público, extorsionando a las víctimas por cientos de millones de dólares y causando interrupciones incalculables. Y lo han hecho con impunidad, pero nada más. Hoy, como parte de un impulso para acabar con las bandas de ransomware, los gobiernos del Reino Unido y EE. UU. han desenmascarado a algunos de los delincuentes que están detrás de los ataques.
En un movimiento inusual, los funcionarios sancionaron a siete presuntos miembros de notorias bandas de ransomware y publicaron sus nombres, fechas de nacimiento, direcciones de correo electrónico y fotos en el mundo real. Se dice que los siete ciberdelincuentes nombrados pertenecen a los grupos de ransomware Conti y Trickbot, que están vinculados y, a menudo, se denominan conjuntamente Wizard Spider. Además, el Reino Unido y los EE. UU. ahora están denunciando explícitamente los vínculos entre Conti y Trickbot y los servicios de inteligencia de Rusia.
“Al sancionar a estos ciberdelincuentes, les enviamos una señal clara a ellos y a otras personas involucradas en el ransomware de que tendrán que rendir cuentas”, dijo el secretario de Relaciones Exteriores del Reino Unido, James Cleverly, en un comunicado el jueves. “Estos ciberataques cínicos causan un daño real a la vida y el sustento de las personas”.
Los siete pandilleros nombrados por los dos gobiernos son: Vitaly Kovalev, Maksim Mikhailov, Valentin Karyagin, Mikhail Iskritskiy, Dmitry Pleshevskiy, Ivan Vakhromeyev y Valery Sedletski. Todos los miembros tienen identificadores en línea, como Baget y Tropa, que usaron para comunicarse entre ellos sin usar sus identidades del mundo real.
El jueves, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido dijo que es «altamente probable» que los miembros del grupo Conti tengan vínculos con los «Servicios de Inteligencia Rusos» y que esas agencias «probablemente» hayan dirigido algunas de las acciones de la pandilla. NCSC es parte de la agencia de inteligencia del Reino Unido GCHQ, y esta es la primera vez que el Reino Unido sanciona a los delincuentes de ransomware.
Del mismo modo, el Departamento del Tesoro de EE. UU. concluyó que los miembros del Grupo Trickbot están «asociados con los servicios de inteligencia rusos». Agregó que las acciones del grupo en 2020 estaban alineadas con los intereses internacionales de Rusia y «los objetivos previamente realizados por los servicios de inteligencia rusos».
Según el Tesoro de los EE. UU., estos miembros estuvieron involucrados en el desarrollo de malware y ransomware, lavado de dinero, fraude, inyección de código malicioso en sitios web para robar detalles de inicio de sesión y funciones gerenciales. Como parte de las sanciones, el Reino Unido congeló los activos pertenecientes a los actores del ransomware y les impuso prohibiciones de viaje. El Tribunal de Distrito de EE. UU. para el Distrito de Nueva Jersey también reveló una acusación acusando a Vitaliy Kovalev de conspiración para cometer fraude bancario y ocho cargos de fraude bancario contra instituciones financieras de EE. UU. en 2009 y 2010.
Los gobiernos han tenido problemas para controlar la creciente amenaza del ransomware, en gran parte porque muchos de los grupos criminales operan en Rusia. El Kremlin ha brindado un refugio seguro para estos malos actores, siempre que no tengan como objetivo a las empresas rusas. El año pasado, luego de una serie de ataques particularmente agresivos y perjudiciales contra objetivos de EE. UU. y el Reino Unido, las fuerzas del orden rusas arrestaron a más de una docena de presuntos miembros de la notoria banda de ransomware REvil. Pero Rusia ha seguido siendo el punto de origen de una serie de actividades delictivas cibernéticas, incluidos los ataques de ransomware.