El gobierno del Reino Unido ha sancionado a siete ciberdelincuentes rusos asociados con las operaciones de ransomware Conti y Ryuk, congelando sus activos e imponiendo prohibiciones de viaje, en una acción coordinada con las autoridades estadounidenses.
Se descubrió que los siete hombres, nombrados hoy como Vitaliy Kovalev, Valery Sedletski, Valentin Karyagin, Maksim Mikhailov, Dmitry Pleshevskiy, Mikhail Iskritskiy e Ivan Vakhromeyev, están asociados con el desarrollo y la implementación de Conti, Diavol y Ryuk, así como con varios malwares. incluidos Trickbot, Anchor, BazarLoader y BazarBackdoor.
Con el tiempo, el grupo llevó varios apodos que le asignaron los investigadores de seguridad, incluidos Conti, Wizard Spider, UNC1878, Gold Blackburn, Trickman y Trickbot.
Durante su ola de delitos cibernéticos, extorsionaron aproximadamente 27 millones de libras esterlinas a 149 víctimas conocidas en el Reino Unido, incluidos hospitales, escuelas, empresas y autoridades locales. Es bien sabido que el cártel estuvo detrás del ataque al Ejecutivo del Servicio de Salud de Irlanda en la primavera de 2021. También afectó a organizaciones como la Agencia de Protección Ambiental de Escocia y el minorista de moda FatFace.
El grupo se disolvió en 2022 después de respaldar el ataque de Rusia contra Ucrania, lo que provocó una serie de filtraciones dañinas por parte de los operativos que apoyan a Ucrania, pero según el Centro Nacional de Seguridad Cibernética, es casi seguro que sus miembros se han mudado y ahora están asociados con otros activos actualmente. operaciones de ransomware. La agencia también cree que los sancionados hoy pueden tener vínculos y probablemente hayan recibido tareas de los servicios de inteligencia rusos.
“Al sancionar a estos ciberdelincuentes, les enviamos una señal clara a ellos y a otras personas involucradas en el ransomware de que tendrán que rendir cuentas”, dijo el secretario de Relaciones Exteriores, James Cleverly.
“Estos ciberataques cínicos causan un daño real a la vida y el sustento de las personas. Siempre pondremos nuestra seguridad nacional en primer lugar al proteger al Reino Unido y a nuestros aliados del crimen organizado grave, cualquiera que sea su forma y donde sea que se origine”.
Momento significativo
Graeme Biggar, director de la Agencia Nacional del Crimen (NCA), que identificó a las víctimas británicas de la pandilla y dirigió la investigación, agregó: “Este es un momento muy significativo para el Reino Unido y nuestros esfuerzos de colaboración con los EE. UU. para interrumpir a los ciberdelincuentes internacionales.
“Las sanciones son las primeras de su tipo para el Reino Unido y señalan la campaña continua dirigida a los responsables de algunos de los ransomware más sofisticados y dañinos que han afectado al Reino Unido y a nuestros aliados. Muestran que estos delincuentes y quienes los apoyan no son inmunes a la acción del Reino Unido, y esta es solo una herramienta que usaremos para tomar medidas enérgicas contra esta amenaza y proteger al público.
“Este es un excelente ejemplo de la dedicación y la experiencia del equipo de NCA que ha trabajado en estrecha colaboración con los socios en esta investigación compleja”, dijo Biggar. “Continuaremos desplegando nuestras capacidades únicas para exponer a los ciberdelincuentes y trabajar junto con nuestros socios internacionales para hacer que los responsables rindan cuentas, donde sea que se encuentren en el mundo”.
La NCA continúa buscando otras líneas de investigación para interrumpir aún más la amenaza del ransomware para las organizaciones británicas, y el anuncio de hoy marca el comienzo de una campaña conjunta de acción coordinada contra los actores del ransomware que se lleva a cabo junto con los socios estadounidenses.
Sin embargo, es poco probable que alguno de los siete hombres involucrados se enfrente alguna vez a la justicia en Occidente: Rusia no permite la extradición de sus ciudadanos y, dado el clima geopolítico actual, las posibilidades de cooperación de Moscú en cualquier nivel son prácticamente nulas. Sin embargo, como es habitual cuando los gobiernos toman este tipo de acciones, se espera que el acto de nombrarlos les cause inconvenientes considerables, ya que les quita la capacidad de operar de forma anónima y resalta la corrupción y los vínculos criminales endémicos en los servicios de inteligencia rusos.
Don Smith, vicepresidente de investigación de amenazas en la Unidad de Contraamenazas de Secureworks, ha estado rastreando a Conti en sus diversas formas durante mucho tiempo.
“Estas sanciones representan pasos positivos y coordinados en la lucha global contra el ransomware”, dijo Smith a Computer Weekly.
“Al apuntar a las personas nombradas específicamente en las sanciones de hoy, [they] otorgue a las instituciones financieras y de aplicación de la ley los mandatos y mecanismos necesarios para incautar activos y causar trastornos financieros a las personas designadas, al tiempo que evita criminalizar y volver a victimizar a la víctima al colocarla en la posición imposible de elegir entre pagar un rescate para recuperar su negocio o violando las sanciones”, dijo.
Al mismo tiempo, la Oficina de Implementación de Sanciones Financieras del Reino Unido ha publicado una nueva guía pública para explicar mejor las implicaciones de las sanciones contra los operadores de ransomware. De manera similar a cómo funcionan otras sanciones, ahora está prohibido poner fondos a disposición de cualquiera de las personas nombradas a través de pagos de ransomware.