Sentencian a Hacker Ruso por Ataques de Ransomware con TA551
Publicado el
Condena a un Hacker Ruso por Ransomware
El Departamento de Justicia de los Estados Unidos ha anunciado la sentencia de dos años de prisión para Ilya Angelov, un nacional ruso de 40 años, por su papel en la gestión de una botnet que llevó a cabo ataques de ransomware contra varias empresas estadounidenses. Además de la pena de cárcel, Angelov deberá abonar una multa de 100.000 dólares.
Angelov, conocido en el ámbito cibernético por sus seudónimos "milan" y "okart", fue coadministrador de un grupo de ciberdelincuentes radicado en Rusia, identificado como TA551 (también conocido como ATK236, G0127, Gold Cabin, Hive0106, Mario Kart, Monster Libra y Shathak) desde 2017 hasta 2021. Según el Departamento de Justicia, este grupo estableció una red de computadoras comprometidas mediante la distribución de archivos infectados con malware a través de correos electrónicos de spam.
La actividad del grupo se centró en la monetización de la botnet, vendiendo acceso a los sistemas comprometidos. En sus operaciones, desarrollaron programas para enviar correos electrónicos masivos y perfeccionaron su malware con el objetivo de eludir las herramientas de seguridad. Angelov y su coadministrador reclutaron a otros miembros y supervisaron las diversas actividades del grupo, destacando el uso de un backdoor que permitía la carga de software malicioso en las computadoras de las víctimas.
El objetivo principal de estos ataques era revender el acceso a otros grupos criminales, que a su vez lo utilizaban en esquemas de extorsión de ransomware. Entre agosto de 2018 y diciembre de 2019, TA551 proporcionó acceso a su botnet al grupo de ransomware BitPaymer, lo que permitió a esta banda infectar a 72 corporaciones estadounidenses, generando más de 14,17 millones de dólares en pagos de extorsión.
Además, los operadores del malware IcedID pagaron a Angelov y su grupo más de un millón de dólares para obtener acceso a la botnet a finales de 2019 o principios de 2020, aunque el alcance total de los daños causados no está del todo claro. Se sospecha que esta colaboración surgió tras la interrupción de las operaciones del grupo BitPaymer, y continuó hasta aproximadamente agosto de 2021, según el FBI.
En noviembre de 2021, se reveló que los operadores del troyano TrickBot estaban colaborando con TA551 para distribuir el ransomware Conti. En el mismo mes, el Equipo de Respuesta a Emergencias Informáticas de Francia (CERT-FR) también informó que la banda de ransomware Lockean utilizaba los servicios de distribución ofrecidos por TA551 tras la desarticulación de la botnet Emotet a principios de 2021.
El abogado estadounidense Jerome F. Gorgon Jr. comentó sobre el caso, afirmando que "los ciberdelincuentes extranjeros como este acusado tienen como objetivo a los ciudadanos y empresas estadounidenses. Sus métodos se vuelven cada vez más sofisticados, pero su motivación sigue siendo la misma: estafarnos y perjudicarnos".
Este desarrollo se produce un día después de que el Departamento de Justicia informara sobre la condena de otro nacional ruso, Aleksei Olegovich Volkov, de 26 años, quien fue sentenciado a casi siete años de prisión tras declararse culpable de actuar como intermediario de acceso inicial (IAB) para ataques de ransomware Yanluowang que afectaron a ocho empresas en EE.UU. entre julio de 2021 y noviembre de 2022.