Funcionarios estadounidenses del Departamento de Justicia, el Tesoro y el FBI anunciaron una lista de acciones tomadas contra algunos de los miembros del grupo de ransomware REvil, así como sanciones contra organizaciones que ayudan a grupos a lavar fondos ilícitos.
En una conferencia de prensa el lunes, el fiscal general de los Estados Unidos, Merrick Garland, anunció las acusaciones contra el ucraniano Yaroslav Vasinskyi, de 22 años, y el ruso Yevgeniy Polyanin, por su participación en las operaciones de REvil.
CyberScoop informó que Vasinskyi fue arrestado en Polonia el mes pasado después de salir de Ucrania y ahora enfrenta cargos por el ataque a Kaseya que infectó a más de 1000 empresas con ransomware este verano.
Garland dijo que Vasinskyi, que se hacía llamar «Rabotnik» en línea, fue uno de los autores intelectuales del ransomware REvil y se enfrenta a la extradición después de ser arrestado por las autoridades polacas el 8 de octubre. Garland agregó que, si bien Polyanin no ha sido arrestado, también fue golpeado con una letanía de cargos relacionados con la piratería y las agencias de aplicación de la ley confiscaron $ 6.1 millones en pagos de rescate.
La acusación compartida por el Departamento de Justicia dice que Vasinskyi ha sido parte de la pandilla de ransomware REvil desde al menos 2019 y ha lanzado al menos 2500 ataques. El DOJ dijo que obtuvo $2.3 millones de rescates después de exigir un total de más de $760 millones.
Según el DOJ, además de los ataques principales a Kaseya y JBS, REvil es responsable de implementar su ransomware en más de 175 000 computadoras. El grupo supuestamente ha recaudado al menos $ 200 millones de rescates. Garland señaló que Polyanin se había relacionado con al menos 3000 ataques de ransomware.
«Los ataques de ransomware de Polyanin afectaron a numerosas empresas y entidades en los Estados Unidos, incluidos los organismos encargados de hacer cumplir la ley y los municipios de todo el estado de Texas. Polyanin finalmente extorsionó a sus víctimas por aproximadamente 13 millones de dólares», dijo Garland al revelar las acusaciones de ambos hombres.
«Por segunda vez en cinco meses, anunciamos la incautación de las ganancias digitales del ransomware desplegado por un grupo criminal transnacional. Esta no será la última vez. El gobierno de EE. UU. continuará persiguiendo agresivamente todo el ecosistema de ransomware y aumentando la resiliencia de nuestra nación a las amenazas cibernéticas».
Garland, la fiscal general adjunta Lisa Monaco y el director del FBI, Christopher Wray, agradecieron repetidamente a Kaseya por presentarse ante las agencias policiales casi inmediatamente después de descubrir el ataque REvil.
Los tres señalaron que la rápida decisión de la compañía fue de gran ayuda para ayudar al FBI y otros a rastrear los pagos y ayudar a otras víctimas.
«El arresto de Yaroslav Vasinskyi, los cargos contra Yevgeniy Polyanin y la incautación de 6,1 millones de dólares de sus activos, y los arrestos de otros dos actores de Sodinokibi/REvil en Rumania son la culminación de una estrecha colaboración con nuestro gobierno internacional estadounidense y especialmente con nuestro sector privado. socios», dijo Wray.
Junto con las acusaciones, el Departamento del Tesoro anunció sanciones contra la casa de cambio de moneda virtual Chatex y su red de apoyo asociada por presuntamente facilitar transacciones financieras para los actores de ransomware.
IZIBITS OU, Chatextech SIA y Hightrade Finance Ltd también fueron sancionados por brindar apoyo a Chatex. Vasinskyi y Polyanin también fueron sancionados.
El Departamento del Tesoro también reveló una recompensa de $ 10 millones por cualquier información sobre cualquier persona que ocupe una posición de liderazgo clave en el grupo de crimen organizado transnacional variante del ransomware Sodinokibi/REvil.
Hay otra recompensa de $ 5 millones por información que conduzca al arresto o condena en cualquier país de cualquier persona que conspire para participar o intente participar en un incidente de ransomware variante de Sodinokibi.
El experto en ransomware Recorded Future, Allan Liska, dijo que la lista de acciones del lunes disipó la noción de que la acción policial fue en gran medida ineficaz contra los grupos de ransomware.
«No vamos a descorcharnos y decir que el ransomware ya terminó, pero creo que estamos comenzando a ver un impacto. Estoy emocionado de que haya más sanciones contra los intercambios de criptomonedas que son conocidos por lavar dinero. Yo También así, el Departamento del Tesoro llamó a algunos países más pequeños, como Estonia y Rumania, por su ayuda en esto, porque creo que comienza a mostrar que Rusia realmente está aislada en esto, más de lo que había estado en el pasado», dijo Liska. dicho.
«La incautación de esos activos de un ciudadano ruso demuestra que, incluso si tiene su base en Rusia, no está seguro. Es posible que no puedan arrestarlo, pero pueden afectarlo de una manera que probablemente no lo haya hecho». t pensado en todavía.»
Las acciones del lunes comenzaron con el arresto de dos personas relacionadas con REvil por parte de las autoridades rumanas. La policía de Kuwait también arrestó a otro afiliado de GandGrab.
Las agencias estadounidenses han estado trabajando con Europol, Eurojust, Interpol y otras organizaciones encargadas de hacer cumplir la ley en la «Operación GoldDust» para interrumpir múltiples grupos de ransomware durante los últimos seis meses. Diecisiete países han participado en el esfuerzo, y decenas de personas han sido atrapadas en toda Europa en relación con grupos de ransomware.
REvil cerró la tienda por segunda vez el mes pasado después de decir que la presión de las fuerzas del orden se había vuelto demasiado grande para que continuaran con su operación.
Una de las operaciones a las que se hace referencia en las acusaciones fue un ataque masivo de ransomware en 2019 que apuntó a docenas de gobiernos locales en el estado de Texas.
Andy Bennett, CISO de Apollo Information Systems, dijo MarketingyPublicidad.es que él era el comandante del incidente del ataque en Texas. Hacía mucho tiempo que las personas detrás del ataque debían enfrentar algún tipo de retribución.
«Años de arduo trabajo y cooperación finalmente dieron sus frutos. Estos atacantes tomaron como rehenes a organizaciones públicas y privadas e incluso a comunidades enteras, y fue necesario que las organizaciones tuvieran la fortaleza de no pagar el rescate y cooperaran con las fuerzas del orden para proporcionar el camino para llevar a estos criminales ante la justicia. «, dijo Bennett.
«La importancia de estos arrestos es que el ransomware simplemente se convirtió en una actividad de alto riesgo. Hasta este punto, el ransomware era una propuesta de riesgo relativamente bajo y alta recompensa para los delincuentes emprendedores. Incluso las fuerzas del orden público lo consideraban casi imposible de atrapar y procesar a las pandillas de ransomware que operan en Europa del Este y otras partes del mundo debido a las dificultades para rastrear y controlar las criptomonedas utilizadas para el pago y los obstáculos jurisdiccionales y de procedimiento masivos. al borde y con el aviso de que podrían ser los siguientes. No podría estar más feliz de ver a estos actores de amenazas particulares llevados ante la justicia, ya que fue REvil/Sodin quien atacó a 23 gobiernos locales en Texas en agosto de 2019».