Grupo ruso de ransomware derribado con nuevas sanciones
OIPOL operando en Reino Unido | NCA Comunicación y fotos, septiembre 07 de 2023 | Traducción y edición OIPOL, septiembre 11 de 2023 – Once miembros más de un prolífico grupo de ransomware Conti / Trickbot han sido expuestos y sancionados por el Reino Unido y Estados Unidos, como parte de una campaña conjunta dirigida a los ciberdelincuentes internacionales.
Al mismo tiempo, el Departamento de Justicia de Estados Unidos está revelando acusaciones contra nueve personas en relación con la conspiración del malware Trickbot y la conspiración del ransomware Conti.
Las investigaciones de la NCA y el FBI identificaron que estos hombres, todos de nacionalidad rusa, eran miembros influyentes del grupo, que trabajaban como desarrolladores, administradores que facilitaban pagos al grupo con fondos de rescates y reclutaban nuevos miembros que participan en foros sobre delitos cibernéticos.
La NCA evalúa que el grupo fue responsable de extorsionar al menos 27 millones de libras esterlinas a 149 víctimas del Reino Unido. La investigación de Chainalysis muestra que el grupo criminal es responsable de al menos 800 millones de dólares en ataques de extorsión a nivel mundial.
Los atacantes buscaban atacar hospitales, escuelas, autoridades locales y empresas del Reino Unido.
Las sanciones del día 7 de septiembre han sido impuestas por la FCDO y la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos. Estas son las últimas rondas de designaciones tras las primeras sanciones conjuntas entre el Reino Unido y Estados Unidos contra siete miembros del mismo grupo en febrero de este 2023.
El director general de operaciones de la NCA, Rob Jones, dijo: “estas sanciones son una continuación de nuestra campaña contra los ciberdelincuentes internacionales.Los ataques de este grupo de ransomware han causado daños importantes a nuestras empresas y arruinado los medios de vida, las víctimas han tenido que lidiar con el impacto prolongado de las pérdidas financieras y de datos. Estos criminales pensaban que eran intocables, pero nuestro mensaje es claro: sabemos quiénes son ustedes y, trabajando con nuestros socios, no cejaremos en nuestros esfuerzos para llevarlos ante la justicia».
Los 18 ciberdelincuentes están ahora sujetos a prohibiciones de viajar y congelamiento de activos, la banda tiene el uso del legítimo sistema financiero global severamente restringido.
Las evaluaciones y los informes de la industria muestran que las sanciones han interrumpido las operaciones de ransomware, lo que incluye obstaculizar la capacidad de los actores de amenazas para monetizar sus actividades delictivas.
Además de interrumpir las actividades de los delincuentes de ransomware, mediante sanciones, la NCA ha estado trabajando con socios internacionales para atacar las herramientas y servicios que sustentan sus delitos.
Por otro lado, la NCA apoyó al FBI y al Departamento de Justicia en la eliminación del malware Qakbot, que facilitó los ataques de ransomware y causó daños por valor de millones de libras en todo el mundo.
Durante un período de 16 años, Qakbot fue utilizado por el grupo Conti, así como por los delincuentes detrás de las cepas de ransomware ProLock, Egregor, REvil y Black Basta, para robar datos personales, incluidas credenciales bancarias, de las víctimas.
Aunque el grupo Conti se disolvió en el año 2022, los informes sugieren que sus miembros, incluidos los sancionados el 7 de septiembre, continúan involucrados en algunas de las nuevas cepas de ransomware más notorias que dominan y amenazan la seguridad del Reino Unido.
El grupo también fue uno de los primeros en ofrecer apoyo a la invasión rusa de Ucrania y es muy probable que miembros clave del grupo mantengan vínculos con los Servicios de Inteligencia rusos, de quienes probablemente hayan recibido tareas.
El Secretario de Asuntos Exteriores, James Cleverly, aseguró: “estos ciberdelincuentes se alimentan del anonimato y se mueven en las sombras de Internet para causar el máximo daño y extorsionar a sus víctimas. Nuestras sanciones demuestran que no pueden actuar con impunidad. Sabemos quiénes son y qué están haciendo. Al exponer sus identidades, estamos desmantelando sus modelos de negocio, haciendo que les resulte más difícil atacar a nuestra gente, nuestras empresas y nuestras instituciones».
El ministro de Seguridad, Tom Tugendhat, indicó: “estas sanciones demuestran que el Reino Unido tomará medidas enérgicas contra quienes intenten extorsionar las empresas y la infraestructura del Reino Unido. Utilizaremos nuestras fuerzas del orden para perseguir a los perpetradores y castigar sus crímenes. Tenemos las habilidades y los recursos para encontrar y desenmascarar a los delincuentes que intentan robar en empresas, escuelas y hospitales británicos. Seguiremos trabajando con nuestros socios, como Estados Unidos, para derrotar estas amenazas».
La directora ejecutiva del NCSC, Lindy Cameron, expresó: “además de esta última ronda de sanciones, recomiendo encarecidamente a las organizaciones que obstruyan de manera proactiva las actividades de los agentes de ransomware reforzando su resiliencia en línea. “el ransomware sigue siendo una amenaza importante a la que se enfrenta el Reino Unido y los ataques pueden tener un impacto significativo y de gran alcance. el NCSC ha publicado consejos gratuitos y prácticos para organizaciones de todos los tamaños sobre cómo implementar defensas sólidas para proteger sus redes».
Las personas designadas el día 7 de septiembre de 2023 en el Reino Unido y Estados Unidos son:
Andrey Zhuykov era un actor central en el grupo y un alto administrador. Conocido por los apodos en línea «Defender», «Dif» y «Adam».
Maksim Galochkin dirigió un grupo de evaluadores, con responsabilidades de desarrollo, supervisión e implementación de pruebas, Conocido por los apodos en línea «Bentley», «Volhvb» y «Max17».
Maksim Rudenskiy era un miembro clave del grupo Trickbot y era el líder del equipo de codificadores, conocido por los apodos en línea «Buza», «Silver» y «Binman».
Mikhail Tsarev era un directivo de nivel medio que ayudaba con las finanzas del grupo y supervisaba las funciones de recursos humanos, conocido por los apodos en línea «Mango», «Frances» y «Khano».
Dmitry Putilin estuvo asociado con la compra de la infraestructura de Trickbot, conocido por los apodos en línea «Grad» y «Staff».
Maksim Khaliullin era director de recursos humanos del grupo, estuvo asociado con la compra de la infraestructura de Trickbot, incluida la adquisición de servidores privados virtuales (VPS), conocido por el apodo en línea «Kagas».
Sergey Loguntsov fue el desarrollador del grupo, conocido por los apodos en línea “Begemot”, “Begemot_Sun” y “Zulas”.
Alexander Mozhaev formaba parte del equipo administrativo responsable de las tareas de administración general, conocido por los apodos en línea «Green» y «Rocco».
Vadym Valiakhmetov trabajaba como codificador y sus tareas incluían proyectos de backdoor y loader, conocido por los apodos en línea «Weldon», «Mentos» y «Vasm».
Artem Kurov trabajó como codificador con tareas de desarrollo en el grupo Trickbot, conocido por el apodo en línea «Naned».
Mikhail Chernov formaba parte del grupo de servicios públicos internos, conocido por los apodos en línea «Bullet» y «m2686».
Orientación para víctimas de ransomware:
La comunicación de la Agencia Nacional contra el Crimen del Reino Un idos (NCA) recomienda que: “si es víctima de un ataque de ransomware, debe utilizar el sitio de señalización de incidentes cibernéticos del gobierno del Reino Unido lo antes posible para obtener instrucciones sobre a qué agencias informar su incidente.
La Oficina de Implementación de Sanciones Financieras ha publicado una guía que establece las implicaciones de las sanciones en casos de ransomware. Estas sanciones prohíben poner fondos a disposición de las personas, como los pagos percibidos de las víctimas por los ataques de ransomware, incluso en criptoactivos.
La NCA aconseja una vez más que las organizaciones deberían tener o deberían implementar sistemas sólidos de seguridad cibernética, como así también la gestión de incidentes para prevenir y tramitar incidentes cibernéticos graves.
Oipol & Oijust 
Deja un comentario