En su más reciente comunicado, el Buró Federal de Investigaciones (FBI) anunció el decomiso de $2.2 millones USD en criptomoneda de un reconocido afiliado de las operaciones de ransomware REvil y GrandCrab. Según los documentos de la Agencia, el monto equivale a 39.89 Bitcoin, extraídos de una billetera electrónica Exodus.
El reporte no especifica cómo se obtuvo acceso a estos activos virtuales, aunque expertos en ciberseguridad señalan que, dadas las características de Exodus, los agentes tuvieron que haber tenido control de la clave secreta de esta billetera forzosamente. El FBI también señala que estos recursos están bajo custodia de su división en Texas.
La Agencia argumenta que esta billetera electrónica contenía los pagos realizados por decenas de víctimas del ransomware REvil, en ataques operados por un afiliado identificado como Aleksandr Sikerin (también conocido como Oleksandr Sikerin).
Sikerin empleaba la dirección email <<engfog1337@gmail.com>> para el despliegue de sus ataques. A partir de este dato compartido por el FBI, diversos investigadores concluyeron que el acusado actuaba bajo el alias de “Lalartu”.
Como algunos usuarios recordarán, variantes como GrandCrab y REvil trabajan bajo el modelo de ransomware como servicio (RaaS), en el que un desarrollador de malware coopera con afiliados, quienes se encargan de entregar el malware a los posibles objetivos y eventualmente cobrar las recompensas.
En pocas palabras, los operadores principales se encargan del desarrollo y mantenimiento del malware, además de administrar el portal de pago y otras herramientas, mientras que los afiliados tienen a su cargo la identificación, seguimiento y compromiso de las víctimas.
Desde hace un par de años la comunidad de la ciberseguridad reportó la detección de múltiples ataques responsabilidad de Lalartu, identificado como uno de los principales operadores de GrandCrab y REvil. Después de la publicación de múltiples informes, un grupo de investigadores descubrió la identidad de Lalartu, cuyos nombres fueron revelados eventualmente.
Esta es la segunda ocasión en que se reporta un decomiso similar. Hace unas semanas, el Departamento de Justicia de E.U. (DOJ) anunció que fueron confiscados $6 millones USD en rescates pagados a la banda de ransomware REvil. No está claro si los $2.2 millones USD forman parte de la misma operación, aunque los expertos creen que ambos casos son independientes.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.