ransomware

El FBI confiscó 2,3 millones de dólares en agosto de un conocido afiliado de ransomware REvil y GandCrab, según documentos judiciales vistos por BleepingComputer. El FBI incautó 39.89138522 bitcoins por un valor aproximado de $ 2.3 millones a precios actuales (U$S 1,5 millones en el momento de la incautación) de una billetera Exodus el 3 de agosto de 2021.

Exodus es una billetera de escritorio o móvil que los propietarios pueden usar para almacenar criptomonedas, incluidos Bitcoin, Ethereum, Solana y muchos otros.

El FBI no indica cómo obtuvieron acceso a la billetera, aparte de que está bajo su custodia, lo que indica que probablemente obtuvieron acceso a la clave privada o la frase secreta de la billetera.

La denuncia continúa diciendo que la billetera contenía pagos de rescate de REvil pertenecientes a un afiliado identificado como «Aleksandr Sikerin, aka Alexander Sikerin, aka Oleksandr Sikerin» con una dirección de correo electrónico «engfog1337@gmail».

Si bien el FBI no indica el alias en línea del actor de la amenaza, el nombre ‘engfog’ en la dirección de correo electrónico está vinculado a un conocido afiliado de GandCrab y REvil / Sodinokibi conocido como ‘Lalartu’.

Orientación a afiliados

Las organizaciones GandCrab y REvil operaban como Ransomware-as-a-Service (RaaS), donde los operadores principales se asocian con delincuentes informáticos de terceros, conocidos como afiliados.

Como parte de este arreglo, los principales operadores desarrollarán y gestionarán el software de cifrado / descifrado, el portal de pago y los sitios de filtración de datos. Los afiliados tienen la tarea de hackear redes corporativas, robar datos e implementar ransomware para cifrar dispositivos.

Cualquier pago de rescate se dividiría entre el afiliado y los operadores principales, y los operadores generalmente ganarían entre el 20% y el 30% del rescate y los afiliados harían el resto.

En un informe de REvil de McAfee, los investigadores siguieron el rastro del dinero de un conocido actor de amenazas conocido como ‘Lalartu’, un afiliado de las operaciones de ransomware GandCrab y REvil.

En 2019, el actor de amenazas publicó en un foro de hacking de habla rusa admitiendo que trabajó con GandCrab y cambió a REvil después de que la operación anterior cerró. Después de que se publicó el informe, el investigador de seguridad Alon Gal intentó rastrear la identidad real de Lalartu.

Como parte de su investigación, Gal rastreó a Lalartu hasta los alias ‘Engfog’ o ‘Eng_Fog’, que coincide con la dirección de correo electrónico que figura en la denuncia del FBI. Después de más conversaciones con investigadores de seguridad, BleepingComputer ha confirmado que Lalartu había sido identificado como ‘Aleksandr Sikerin’, quien se menciona en la denuncia.

En noviembre, el Departamento de Justicia anunció que el FBI confiscó U$S 6 millones en rescates pagados a la banda de ransomware REvil. No está claro si estos U$S 2.,3 millones son parte de la cantidad previamente anunciada o rescates adicionales incautados por el FBI.

La estrategia continua de las fuerzas del orden público de interrumpir la economía y los sistemas afiliados de las operaciones de ransomware está dando sus frutos. Esta actividad ha dado lugar a numerosos arrestos y derribos de infraestructura, que incluyen:

  • La interrupción de la operación de ransomware Netwalker y el arresto de un afiliado en Canadá.
  • La detención de los dos miembros de la operación Egregor provocó el cierre de la organización.
  • El arresto de 12 personas que se cree están relacionadas con ataques de ransomware contra 1.800 víctimas en 71 países.
  • El arresto de un ciudadano ucraniano que se cree que está detrás del ataque de ransomware Kaseya.
  • Los arrestos y la incautación de infraestructura también están asustando a las bandas de ransomware para que cierren sus operaciones, incluidas REvil en octubre y BlackMatter en julio.

Fuente y redacción: segu-info.com.ar

Compartir