Companies Linked to Russian Ransomware Hide in Plain Sight

Cita: 

Kramer, Andrew [2021], "Companies Linked to Russian Ransomware Hide in Plain Sight", The New York Times, New York, 6 de diciembre, https://www.nytimes.com/2021/12/06/world/europe/ransomware-russia-bitcoi...

Fuente: 
Otra
Fecha de publicación: 
Lunes, Diciembre 6, 2021
Tema: 
Ciberataques ahondan disputa entre Rusia y Estados Unidos
Idea principal: 

Andrew E. Kramer es un reportero que trabaja en la oficina de Moscú de The New York Times.


Cuando los “ciberdetectives” rastrearon los millones de dólares que las empresas estadounidenses, los hospitales y los gobiernos municipales pagaron a los extorsionadores en línea como dinero de rescate, hicieron un descubrimiento revelador: una parte del dinero pasó por una de las direcciones comerciales más prestigiosas de la capital rusa.

En este sentido, la administración Biden también se ha concentrado en el edificio, Federation Tower East, el rascacielos más alto de la capital rusa. El gobierno estadounidense apunta a varias empresas en la torre, mientras busca penalizar a las bandas de ransomware [software malicioso] rusas, que encriptan los datos digitales de sus víctimas y luego exigen pagos para descifrarlos. Esos pagos generalmente se realizan en criptomonedas, monedas virtuales como Bitcoin.

Aparentemente, el rascacielos en el distrito financiero de Moscú es un centro de lavado de dinero, lo que significa que las autoridades rusas toleran a los operadores de ransomware (ver Dato crucial 1). Cabe señalar que los objetivos de los ataques están casi exclusivamente fuera de Rusia y, al menos en un caso documentado, el sospechoso del ataque ayudaba a una agencia de espionaje rusa.

El ciberdelito es solo uno de los muchos problemas que alimentan las tensiones entre Rusia y Estados Unidos, junto con la concentración militar rusa cerca de Ucrania y una reciente crisis migratoria en la frontera entre Bielorrusia y Polonia (ver Dato crucial 2).

En una reunión cumbre en junio de 2020, el presidente Biden presionó al presidente Putin para que tomara medidas enérgicas contra el ransomware después de que el grupo de hackers DarkSide atacó al oleoducto Colonial Pipeline, lo que interrumpió los suministros y creó largas filas en las estaciones de servicio.

Los funcionarios estadounidenses señalan a personas como Maksim Yakubets, un hombre identificado como el líder de una importante organización de ciberdelito que se hace llamar Evil Corp. Los analistas de ciberseguridad han vinculado a su grupo a una serie de ataques, incluido uno en 2020 dirigido a la Asociación Nacional del Rifle. Ese mismo año, un anuncio de sanciones de Estados Unidos acusó a Yakubets de ayudar también al Servicio Federal de Seguridad de Rusia.

Por su parte, los supuestos intercambios de criptomonedas en Federation Tower East, ventilado por Bloomberg News, es una muestra adicional de cómo las organizaciones rusas de ransomware se esconden a plena luz del día. Dos de las acciones más contundentes de la administración Biden hasta la fecha contra el ransomware están vinculadas al mencionado rascacielos.

La primera se dio en septiembre de 2021: el Departamento del Tesoro impuso sanciones a un intercambio de criptomonedas con una empresa llamada Suex, que tiene oficinas en el piso 31 del rascacielos. El Departamento del Tesoro acusó a la empresa de lavar 160 millones de dólares en fondos ilícitos.

La segunda acción se dio en noviembre de 2021: los medios de comunicación rusos informaron que la policía holandesa detuvo al propietario de otra empresa llamada EggChange. En un comunicado emitido por una de sus empresas, Denis Dubnikov, negó haber actuado mal.

El ransomware es atractivo para los delincuentes porque los ataques se llevan a cabo principalmente de forma anónima y en línea, lo que minimiza las posibilidades de que los atrapen. En consecuencia, se ha convertido en una industria en expansión y altamente compartimentada en Rusia, conocida por los investigadores de ciberseguridad como "ransomware como servicio".

La estructura organizativa imita a las franquicias, lo que permite a los hackers menos sofisticados utilizar prácticas comerciales establecidas para ingresar al negocio. De esa forma, varias bandas de alto nivel desarrollan software y promueven marcas (como DarkSide) para intimidar a las empresas y otras organizaciones que son objetivos de ataque. Otros grupos que sólo tienen una relación vaga se infiltran en los sistemas informáticos utilizando la marca y el software “de franquicia”.

Por otra parte, el crecimiento de la industria se ha visto favorecido por el aumento de las criptomonedas, que han vuelto prácticamente obsoletas a las formas previas de lavar dinero. El lavado de la criptomoneda a través de intercambios es el paso final, y también el más vulnerable, porque los “delincuentes” deben salir del mundo anónimo en línea para aparecer en una ubicación física, donde intercambian Bitcoin por efectivo o lo depositan en un banco.

Los códigos de computadora en monedas virtuales permiten rastrear las transacciones de un usuario a otro, incluso si las identidades de los propietarios son anónimas, hasta que la criptomoneda llega a un intercambio. Allí, los registros deberían vincular la criptomoneda con una persona o empresa real.

Es en este punto donde los delincuentes deben ser identificados y detenidos. Pero el gobierno ruso ha permitido que prosperen los intercambios, diciendo que solo investiga el ciberdelito si se violan las leyes rusas. En este sentido, las regulaciones son un área gris en Rusia.

Finalmente, el artículo señala que al menos 15 intercambios de criptomonedas tienen su sede en el rascacielos Federation Tower East en Moscú, según una lista de empresas en el edificio compilada por Yandex, un servicio de mapas ruso. Además, la administración Biden también ha señalado a otros dos inquilinos del edificio como sospechosos de actividades ilegales relacionadas con Bitcoin.

Datos cruciales: 

1. Recorded Future ha registrado alrededor de 50 intercambios de criptomonedas en la ciudad de Moscú, un distrito financiero de la capital, que en su evaluación están involucrados en actividades ilícitas.

2. El Departamento del Tesoro de Estados Unidos estima que los estadounidenses han pagado 1.6 mil millones de dólares en rescates desde 2011. Ryuk, un grupo criminal, ganó un estimado de 162 millones de dólares en 2020 al cifrar los sistemas informáticos de los hospitales estadounidenses durante la pandemia y exigir tarifas para liberar los datos.

Nexo con el tema que estudiamos: 

Este artículo da cuenta de los ataques cibernéticos como otra forma de realizar la guerra de manera asimétrica y difusa. Esto pone de manifiesto que los actores que realizan dichos ataques no son de naturaleza estatal, sino que grupos de hackers toman la iniciativa de realizar operaciones de robo de datos. La creciente facilidad de esto se debe al desarrollo de nuevas criptomonedas.