Federales extraditan a sospechosos de ransomware de 2 pandillas prolíficas en una sola semana

Los fiscales federales extraditaron a dos presuntos operadores de ransomware, incluido un hombre que, según dijeron, era responsable de una intrusión que infectó hasta 1500 organizaciones de un solo golpe, lo que lo convirtió en uno de los peores ataques a la cadena de suministro de la historia.

Yaroslav Vasinskyi, de 22 años, fue arrestado en agosto pasado cuando cruzaba de su país natal, Ucrania, a Polonia. Esta semana fue extraditado a Estados Unidos para enfrentar cargos que conllevan una pena máxima de 115 años de prisión. Vasinskyi llegó a Dallas, Texas, el 3 de marzo y fue procesado el miércoles.

Primero: Sodinokibi/REvil

En una acusación, los fiscales dijeron que Vasinskyi es responsable del ataque del 2 de julio de 2021 que primero golpeó al vendedor de software de gestión remota Kaseya y luego provocó que su infraestructura infectara entre 800 y 1500 organizaciones que dependían del software Kaseya. Sodinokibi/REvil, el grupo de ransomware para el que Vasinskyi supuestamente trabajó o se asoció, exigió $ 70 millones por un descifrador universal que restauraría los datos de todas las víctimas.

Las tácticas, técnicas y procedimientos utilizados en el ataque a la cadena de suministro de Kaseya fueron impresionantes. El ataque comenzó explotando una vulnerabilidad de día cero en el servicio de gestión remota VSA de Kaseya, que, según la empresa, utilizan 35.000 clientes. El grupo robó un certificado de firma de software legítimo y lo usó para firmar digitalmente el malware, lo que facilitó la supresión de las advertencias de seguridad que, de lo contrario, habrían aparecido cuando se estaba instalando.

Para agregar más sigilo, los atacantes utilizaron una técnica llamada carga lateral de DLL, que coloca un archivo DLL malicioso falsificado en un directorio WinSxS de Windows para que el sistema operativo cargue el archivo falso en lugar del legítimo. Los piratas informáticos de la campaña de Kaseya lanzaron una versión de archivo desactualizada que seguía siendo vulnerable a la carga lateral de “msmpeng.exe”, que es el archivo del ejecutable de Windows Defender.

Los fiscales federales alegan que Vasinskyi provocó la implementación del código malicioso Sodinokibi/REvil en todo el sistema de creación de software de Kaseya para implementar aún más el ransomware REvil en los puntos finales de las redes de los clientes. Vasinskyi está acusado de conspiración para cometer fraude y activida des relacionadas con computadoras, daño a computadoras protegidas y conspiración para cometer lavado de dinero.

¿Recuerdas NetWalker?

El jueves, los fiscales de EE. UU. informaron de una segunda extradición relacionada con ransomware, esta contra un hombre canadiense acusado de participar en docenas de ataques que impulsan el ransomware NetWalker.

Sebastien Vachon-Desjardins, de 34 años, de Gatineau, Quebec, Canadá, fue arrestado en enero de 2021 acusado de recibir más de $27 millones en ingresos generados por NetWalker. El Departamento de Justicia dijo que el acusado ahora ha sido transferido a los EE. UU., y su caso está siendo manejado por la oficina de campo del FBI en Tampa.

NetWalker era un grupo avanzado y prolífico que operaba bajo un modelo RaaS, abreviatura de “ransomware como servicio”, lo que significa que los miembros principales reclutaron afiliados para usar el malware NetWalker para infectar objetivos. Los afiliados luego dividirían cualquier ingreso generado con la organización. Un análisis de blockchain reveló que entre marzo y julio de 2020, el grupo extorsionó un total de $ 25 millones. Entre las víctimas se encuentran Trinity Metro, una agencia de tránsito en Texas que proporciona 8 millones de viajes de pasajeros al año, y la Universidad de California en San Francisco, que terminó pagando una $ 1,14 millones de rescate.

NetWalker era una operación operada por humanos, lo que significa que los operadores a menudo pasaban días, semanas o incluso meses estableciendo un punto de apoyo dentro de una organización objetivo. En enero de 2021, las autoridades de Bulgaria incautó un sitio web en la red oscura que los afiliados del ransomware NetWalker habían usado para comunicarse con las víctimas. La incautación fue parte de una ofensiva internacional coordinada contra NetWalker.

Vachon-Desjardins está acusada de conspiración para cometer fraude informático y fraude electrónico, daño intencional a una computadora protegida y transmisión de una demanda en relación con el daño a una computadora protegida. Empresa de análisis de blockchain dijo las transacciones que rastreó muestran que el hombre canadiense también ayudó a impulsar las cepas RaaS Sodinokibi, Suncrypt y Ragnarlocker.

Las extradiciones de esta semana son parte de una serie de éxitos que las autoridades policiales han tenido en las últimas semanas. En junio pasado, el FBI dijo que incautó $2.3 millones pagados a los atacantes de ransomware que paralizaron la red de Colonial Pipeline un mes antes y provocaron interrupciones en el suministro de gasolina y combustible para aviones en toda la costa este. El sitio web de Darkside, el grupo de ransomware detrás de la intrusión, también se cayó casi al mismo tiempo.