Imagen: DOJ
El Departamento de Justicia de Estados Unidos anunció hoy cargos contra dos ciudadanos rusos detrás del infame malware Dridex.
La acusación nombra a Maksim Yakubets e Igor Turashev como dos de los desarrolladores detrás del Dridex troyano bancario, y específicamente nombra a Yakubets como el líder del grupo.
Además, el Departamento de Justicia presentó cargos adicionales contra Yakubets por participar también en el desarrollo y la proliferación de Troyano bancario ZeuS, un precursor de Dridex, activo entre 2007 y 2010.
Las autoridades estadounidenses dijeron que Yakubets usó ZeuS para robar más de $ 70 millones de víctimas sin embargo, la creación principal de Yakubets fue Dridex y el ecosistema de cibercrimen que creó a su alrededor, de lo cual las autoridades dijeron que Yakubets ganó aproximadamente $ 100 millones.
Dridex fue descubierto por primera vez en 2011, un año después de que un competidor filtró el código fuente de ZeuS en línea.
Las versiones iniciales del malware Dridex se llamaron Cridex, pero a medida que el malware evolucionó y fue recogido por más y más empresas de ciberseguridad, se hizo conocido como Dridex o Bugat, y el nombre Dridex se convirtió en el más utilizado.
El malware Dridex todavía está activo incluso hoy.
Evil Corp: el grupo de ciberdelitos más dañino del mundo
El nombre Dridex se usó inicialmente para describir el troyano bancario, una pieza de malware que robaba credenciales bancarias de hosts infectados al inyectar páginas de inicio de sesión bancarias falsas en los navegadores de las personas.
Sin embargo, el nombre Dridex también se usó muchas veces para describir una amplia gama de actividades delictivas que se vinculan con las personas detrás del malware Dridex. Esto incluye la botnet de spam Necurs y el ransomware BitPaymer.
Pero mientras las firmas antivirus se referían al grupo como Dridex, a menudo se hacían llamar Evil Corp.
La Agencia Nacional del Crimen del Reino Unido, que también participó en la investigación, dijo que comenzó a rastrear a Dridex – y Evil Corp alrededor de 2014 – llamándolo «el grupo de ciberdelincuencia más dañino del mundo«.
La NCA afirma que Yakubets empleó a decenas de personas para dirigir las diversas operaciones de Evil Corp, a menudo desde los sótanos de los cafés de Moscú.
Al igual que otros hackers de su estatura, a Yakubets también le gustaba hacer alarde de su riqueza adquirida ilegalmente en las redes sociales, a menudo publicando imágenes de autos caros, montones de dinero y deslumbrantes eventos sociales.
Imagen: NCA
De acuerdo a Documentos judiciales de los Estados Unidos, Yakubets y sus co-conspiradores operaron y usaron el troyano bancario Dridex, pero también permitieron que otros difundieran el malware en su nombre, cobrando una «tarifa inicial de $ 100,000 y el 50% de todos los ingresos con un mínimo de $ 50,000 a la semana».
El dinero robado de las cuentas de las víctimas se devolvió a los perpetradores usando una purple de mulas de dinero, que recibieron fondos robados en sus cuentas, y luego redirigieron el efectivo a los miembros de Evil Corp o sus afiliados.
Además, a medida que la escena del malware comenzó a evolucionar de troyanos bancarios hacia ransomware, Evil Corp también se adaptó. El Departamento de Justicia afirma que a partir de 2016, la pandilla de Yakubets modificó el malware Dridex para ayudar con la instalación del ransomware.
La acusación enumera específicamente a JWF Business (fabricante de metales), una compañía víctima que tenía sus computadoras infectadas con ransomware implementadas a través del troyano Dridex.
El segundo sospechoso nombrado en la acusación de hoy, Turashev, se desempeñó como desarrollador de Dridex. El Departamento de Justicia dijo que supuestamente manejó una variedad de responsabilidades, incluida la administración del sistema, la administración de los paneles de control interno y la supervisión de las operaciones de botnet.
El Departamento de Justicia afirma que también orquestó operaciones de correo no deseado y luego también usó Dridex para instalar ransomware en las computadoras de las víctimas.
Yakubets y Turashev todavía están en libertad y se cree que residen en Moscú, Rusia. Actualmente, Estados Unidos ofrece una recompensa de $ 5 millones por información que conduzca al arresto de Yakubets.
Imagen: FBI
Además de la acusación del Departamento de Justicia, el El Tesoro de los Estados Unidos también impuso sanciones en 24 entidades asociadas con Yakubets y Evil Corp, restringiendo el acceso a los activos del grupo y los sistemas financieros internacionales.
En 2015, las autoridades estadounidenses y británicas arrestaron a otro miembro de la pandilla Dridex, un moldavo llamado Andrey Ghinkul. En ese momento, las autoridades afirmaron que Ghinkul era el administrador de Dridex sin embargo, el malware continuó funcionando e incluso aumentó su actividad luego de su arresto.
Conexiones con inteligencia rusa
En una videoconferencia en vivo hoy, las autoridades estadounidenses también dijeron que creen que Yakubets también ha estado trabajando con el gobierno ruso desde 2017.
Afirmaron que Yakubets ha estado ayudando a la inteligencia rusa con la recopilación de información confidencial de las computadoras que han sido infectadas con el malware Dridex.
Cuando un periodista les preguntó, las autoridades estadounidenses confirmaron que enviaron una solicitud de ayuda durante la investigación a la policía rusa, que respondió y ayudó «hasta cierto punto».
Esta no es la primera vez que una teoría de este tipo ha sido presentada por las autoridades estadounidenses. Previamente afirmaron que Evgeniy Mikhailovich Bogachev, el creador del malware Gameover Zeus, también había ayudado a la inteligencia rusa con la recopilación de documentos confidenciales de computadoras infectadas, antes de ser cargado en 2014. Yakubets, quien se conectó en línea bajo el nombre de «Aqua», fue mencionado en la acusación de Bogachev.
Hasta hoy, Bogachev period el hacker mejor clasificado en la lista cibernética más buscada del FBI, con una recompensa de $ 3 millones por su arresto. A partir de hoy, Yakubets encabeza esta lista.
