El Departamento de Justicia de Estados Unidos ha anunciado que Vladimir Dunaev, un ciudadano ruso de 40 años, ha recibido una condena de cinco años y cuatro meses en prisión por su papel en la creación y distribución del malware TrickBot. Dunaev se declaró culpable por cometer fraude informático, robo de identidad y conspiración para cometer fraude bancario y con cable. Hospitales, escuelas y empresas están entre las millones de víctimas de TrickBot, que sufrieron grandes pérdidas económicas. El malware actuó como vector de intrusión inicial en los sistemas informáticos de las víctimas, y se utilizó para apoyar diversas variantes de ransomware.
Aunque TrickBot se originó en 2016 como un troyano bancario, se convirtió en una herramienta versátil capaz de entregar cargas útiles adicionales, incluidos ransomware. Durante la operación para desmantelar el botnet, TrickBot se incorporó a la operación de ransomware Conti en 2022.
Dunaev proporcionó servicios especializados y habilidades técnicas para promover el esquema TrickBot desde junio de 2016 hasta junio de 2021. Utilizó el malware para lanzar ransomware contra hospitales, escuelas y empresas, y desarrolló modificaciones en el navegador y herramientas maliciosas que permitieron la recolección de credenciales y datos sensibles de máquinas comprometidas, así como también posibilitó el acceso remoto. También creó programas para evitar que el malware de TrickBot fuera detectado por software de seguridad legítimo.
La noticia de la sentencia de Dunaev llega días después de que Australia, el Reino Unido y Estados Unidos impusieran sanciones financieras a Alexander Ermakov, un ciudadano ruso afiliado a la banda de ransomware REvil, por orquestar el ataque contra Medibank, proveedor de seguros de salud, en 2022.
Intel 471, una firma de ciberseguridad, informó que Ermakov utilizaba varios alías en línea como blade_runner, GustaveDore, JimJones, aiiis_ermak, GistaveDore, gustavedore, GustaveDore, Gustave7Dore, ProgerCC, SHTAZI y shtaziIT. Como JimJones, también se le ha visto intentando reclutar a probadores de penetración poco éticos que proporcionen credenciales de inicio de sesión de organizaciones vulnerables para ataques posteriores de ransomware a cambio de $500 por acceso y un 5% del producto del rescate. Intel 471 también destacó que Ermakov tenía una presencia sólida en los foros de cibercrimen y un papel activo en la economía del cibercrimen como comprador y proveedor, y también como operador y afiliado de ransomware. Además, parece que Ermakov estuvo involucrado en una empresa de desarrollo de software que se especializa tanto en el desarrollo de software legítimo como criminal.
La sentencia de Dunaev y las sanciones impuestas a Ermakov destacan la importancia de tomar medidas preventivas para evitar ser víctima de un ataque de ransomware. Las empresas y organizaciones deberían implementar medidas de seguridad cibernética para protegerse de los ataques y reducir el riesgo de posibles daños.
