En una acción coordinada única en su tipo, los gobiernos del Reino Unido y Estados Unidos impusieron el jueves sanciones contra siete ciudadanos rusos por su afiliación a la operación de cibercrimen TrickBot, Ryuk y Conti.
Las personas designadas bajo sanciones son Vitaly Kovalev (alias Alex Konor, Bentley o Bergen), Maksim Mikhailov (alias Baget), Valentin Karyagin (alias Globus), Mikhail Iskritskiy (alias Tropa), Dmitry Pleshevskiy (alias Iseldor), Ivan Vakhromeyev (alias Mushroom) y Valery Sedletski (alias Strix).
“Los miembros actuales del grupo TrickBot están asociados con los servicios de inteligencia rusos”, señaló el Departamento del Tesoro de Estados Unidos. “Los preparativos del grupo TrickBot en 2020 los alinearon con los objetivos estatales rusos y los objetivos previamente realizados por los servicios de inteligencia rusos”.
TrickBot, que se atribuye a un actor de amenazas llamado ITG23, Gold Blackburn y Wizard Spider, surgió en 2016 como un derivado del troyano bancario Dyre y se convirtió en un marco de malware altamente modular capaz de distribuir cargas útiles adicionales. El grupo cambió recientemente su enfoque para atacar a Ucrania.
La infame plataforma de malware como servicio (MaaS), hasta su cierre formal a principios del año pasado, sirvió como un vehículo prominente para innumerables ataques de ransomware Ryuk y Conti, y este último finalmente asumió el control de la empresa criminal TrickBot antes de su propio cierre a mediados de 2022.
A lo largo de los años, Wizard Spider ha ampliado sus herramientas personalizadas con un conjunto de malware sofisticado como Diavol, BazarBackdoor, Anchor y BumbleBee, al tiempo que se dirige a múltiples países e industrias, incluidas la academia, la energía, los servicios financieros y los gobiernos.
“Si bien las operaciones de Wizard Spider se han reducido significativamente tras la desaparición de Conti en junio de 2022, estas sanciones probablemente causarán interrupciones en las operaciones del adversario mientras buscan formas de eludir las sanciones”, dijo Adam Meyers, jefe de inteligencia de CrowdStrike, en un comunicado.
“A menudo, cuando los grupos de ciberdelincuentes son interrumpidos, se oscurecen por un tiempo solo para cambiar de marca bajo un nuevo nombre”.
Según el Departamento del Tesoro, se dice que las personas sancionadas están involucradas en el desarrollo de ransomware y otros proyectos de malware, así como en el lavado de dinero y la inyección de código malicioso en sitios web para robar las credenciales de las víctimas.
Kovalev también ha sido acusado de conspiración para cometer fraude bancario en relación con una serie de intrusiones en cuentas bancarias de víctimas mantenidas en instituciones financieras con sede en Estados Unidos con el objetivo de transferir esos fondos a otras cuentas bajo su control.
Se dice que los ataques, que ocurrieron en 2009 y 2010 y son anteriores a la cita de Kovalev con Dyre y TrickBot, dieron lugar a transferencias no autorizadas por valor de casi $ 1 millón, de los cuales al menos $ 720,000 se transfirieron al extranjero.
Además, también se dice que Kovalev trabajó estrechamente en Gameover ZeuS, una botnet peer-to-peer que fue desmantelada temporalmente en 2014. Vyacheslav Igorevich Penchukov, uno de los operadores del malware Zeus, fue arrestado por las autoridades suizas en noviembre de 2022.
Los funcionarios de inteligencia del Reino Unido evaluaron además que el grupo del crimen organizado tiene “amplios vínculos” con otro equipo con sede en Rusia conocido como Evil Corp, que también fue sancionado por Estados Unidos en diciembre de 2019.
El anuncio es la última salva en una batalla en curso para interrumpir las bandas de ransomware y el ecosistema más amplio de crimeware, y se acerca a la eliminación de la infraestructura de Hive el mes pasado.
Los esfuerzos también son complicados, ya que Rusia ha ofrecido durante mucho tiempo un refugio seguro para los grupos criminales, permitiéndoles llevar a cabo ataques sin enfrentar ninguna repercusión, siempre y cuando los ataques no señalen objetivos nacionales o sus aliados.
Las sanciones “otorgan a las instituciones policiales y financieras los mandatos y mecanismos necesarios para confiscar activos y causar trastornos financieros a las personas designadas, al tiempo que evitan criminalizar y volver a victimizar a la víctima colocándola en la posición imposible de elegir entre pagar un rescate para recuperar su negocio o violar las sanciones”, Don Smith, vicepresidente de investigación de amenazas en Secureworks. dicho
Según datos de NCC Group, los ataques de ransomware experimentaron una disminución del 5% en 2022, pasando de 2.667 el año anterior a 2.531, incluso cuando las víctimas se niegan cada vez más a pagar, lo que lleva a una caída en los ingresos ilícitos.
“Esta disminución en el volumen y el valor de los ataques probablemente se deba en parte a una respuesta cada vez más dura y colaborativa de los gobiernos y las fuerzas del orden y, por supuesto, al impacto global de la guerra en Ucrania”, dijo Matt Hull, jefe global de inteligencia de amenazas de NCC Group.
A pesar de la caída, los actores de ransomware también están resultando ser “innovadores efectivos” que están “dispuestos a encontrar cualquier oportunidad y técnica para extorsionar a sus víctimas con fugas de datos y DDoS que se agregan a su arsenal para enmascarar ataques más sofisticados”, agregó la compañía.
