El Departamento de Justicia anunció hoy las acciones recientes tomadas contra dos ciudadanos extranjeros acusados de implementar el ransomware Sodinokibi / REvil para atacar empresas y entidades gubernamentales en los Estados Unidos.
Antilavadodedinero / Justice.gov
Una acusación revelada hoy acusa a Yaroslav Vasinskyi, de 22 años, un ciudadano ucraniano, de realizar ataques de ransomware contra múltiples víctimas, incluido el ataque de julio de 2021 contra Kaseya, una empresa multinacional de software de tecnología de la información.
El departamento también anunció hoy la incautación de $ 6.1 millones en fondos atribuibles a presuntos pagos de rescate recibidos por Yevgeniy Polyanin, de 28 años, ciudadano ruso, quien también está acusado de llevar a cabo ataques de ransomware Sodinokibi / REvil contra múltiples víctimas, incluidas empresas y entidades gubernamentales en Texas. alrededor del 16 de agosto de 2019.
Según las acusaciones, Vasinskyi y Polyanin accedieron a las redes informáticas internas de varias empresas víctimas y desplegaron el ransomware Sodinokibi / REvil para cifrar los datos en las computadoras de las empresas víctimas.
“El delito cibernético es una seria amenaza para nuestro país: para nuestra seguridad personal, para la salud de nuestra economía y para nuestra seguridad nacional”, dijo el Fiscal General Garland. “Nuestro mensaje de hoy es claro. Estados Unidos, junto con nuestros aliados, hará todo lo que esté a nuestro alcance para identificar a los autores de ataques de ransomware, llevarlos ante la justicia y recuperar los fondos que les han robado a sus víctimas ”.
“Nuestro mensaje a los delincuentes de ransomware es claro: si apuntan a las víctimas aquí, nosotros nos dirigiremos a ustedes”, dijo el Fiscal General Adjunto de Mónaco. “El grupo de ransomware Sodinokibi / REvil ataca a empresas e infraestructuras críticas de todo el mundo, y los anuncios de hoy mostraron cómo lucharemos. En otro éxito del Grupo de trabajo sobre ransomware y extorsión digital recientemente lanzado por el departamento, los delincuentes ahora saben que le quitaremos sus ganancias, su capacidad para viajar y, en última instancia, su libertad. Junto con nuestros socios nacionales y extranjeros, el Departamento continuará desmantelando grupos de ransomware e interrumpiendo el ecosistema ciberdelincuente que permite que el ransomware exista y nos amenace a todos «.
“El arresto de Yaroslav Vasinskyi, los cargos contra Yevgeniy Polyanin y la incautación de $ 6.1 millones de sus activos, y los arrestos de otros dos actores de Sodinokibi / REvil en Rumania son la culminación de una estrecha colaboración con nuestro gobierno internacional, estadounidense y especialmente con nuestro sector privado socios ”, dijo el director del FBI, Christopher Wray. “El FBI ha trabajado de manera creativa e incansable para contrarrestar a los piratas informáticos criminales detrás de Sodinokibi / REvil. Los grupos de ransomware como ellos representan una amenaza grave e inaceptable para nuestra seguridad y nuestro bienestar económico. Continuaremos dirigiéndonos ampliamente a sus actores y facilitadores, su infraestructura y su dinero, dondequiera que estén en el mundo ”.
“El ransomware puede paralizar una empresa en cuestión de minutos. Estos dos acusados desplegaron algunos de los códigos más virulentos de Internet, escrito por REvil, para secuestrar las computadoras de las víctimas ”, dijo el Fiscal Federal Interino Chad E. Meacham para el Distrito Norte de Texas. “En cuestión de meses, el Departamento de Justicia identificó a los perpetradores, efectuó un arresto y confiscó una importante suma de dinero. El Departamento profundizará en los rincones más oscuros de Internet y los confines más lejanos del mundo para rastrear a los ciberdelincuentes «.
Según documentos judiciales, Vasinskyi fue presuntamente responsable del ataque de ransomware del 2 de julio contra Kaseya. En el presunto ataque contra Kaseya, Vasinskyi provocó el despliegue de código malicioso Sodinokibi / REvil en un producto de Kaseya que provocó que la funcionalidad de producción de Kaseya desplegara el ransomware REvil en los «puntos finales» de las redes de clientes de Kaseya. Después de que se estableció el acceso remoto a los puntos finales de Kaseya, el ransomware se ejecutó en esas computadoras, lo que resultó en el cifrado de datos en las computadoras de las organizaciones de todo el mundo que usaban el software de Kaseya.
A través del despliegue del ransomware Sodinokibi / REvil, los acusados presuntamente dejaron notas electrónicas en forma de archivo de texto en las computadoras de las víctimas. Las notas incluían una dirección web que conducía a una red de privacidad de código abierto conocida como Tor, así como el enlace a una dirección de sitio web de acceso público que las víctimas podían visitar para recuperar sus archivos. Al visitar cualquiera de los sitios web, las víctimas recibieron una demanda de rescate y se les proporcionó una dirección de moneda virtual para usarla para pagar el rescate. Si una víctima pagó el monto del rescate, los acusados proporcionaron la clave de descifrado y las víctimas pudieron acceder a sus archivos. Si una víctima no pagó el rescate, los acusados generalmente publicaron los datos robados de las víctimas o afirmaron que vendieron los datos robados a terceros, y las víctimas no pudieron acceder a sus archivos.
Vasinskyi y Polyanin están acusados en acusaciones separadas de conspiración para cometer fraude y actividades relacionadas en conexión con computadoras, cargos sustanciales de daños a computadoras protegidas y conspiración para cometer lavado de dinero. Si son declarados culpables de todos los cargos, cada uno enfrenta una pena máxima de 115 y 145 años de prisión, respectivamente.
Se alega que los $ 6.1 millones incautados de Polyanin se deben a ataques de ransomware y lavado de dinero cometidos por Polyanin a través de su uso del ransomware Sodinokibi / REvil. La orden de incautación se emitió en el Distrito Norte de Texas. Se cree que la polianina está en el extranjero.
El 8 de octubre, Vasinskyi fue detenido en Polonia, donde permanece detenido por las autoridades en espera de los procedimientos en relación con su extradición solicitada a los Estados Unidos, de conformidad con el tratado de extradición entre los Estados Unidos y la República de Polonia. Paralelamente al arresto, se llevaron a cabo entrevistas y registros en varios países, y no hubieran sido posibles sin la rápida respuesta de la Policía Nacional de Ucrania y la Fiscalía del Gobernador de Ucrania.
Las oficinas de campo de Dallas y Jackson del FBI están dirigiendo la investigación. La Oficina de Asuntos Internacionales del Departamento de Justicia y la Sección de Contrainteligencia y Control de Exportaciones de la División de Seguridad Nacional proporcionaron una asistencia sustancial.
La fiscal federal adjunta Tiffany H. Eggers de la Oficina del Fiscal Federal para el Distrito Norte de Texas y el abogado principal Byron M. Jones de la Sección de Delitos Informáticos y Propiedad Intelectual del Departamento de Justicia están procesando el caso.
La Fiscalía de los EE. UU. Para el Distrito Norte de Texas, las Oficinas de Campo en Dallas y Jackson del FBI y la Sección de Delitos Informáticos y Propiedad Intelectual de la División de lo Penal llevaron a cabo la operación en estrecha cooperación con Europol y Eurojust, que formaron parte integral de la coordinación. Investigadores y fiscales de varias jurisdicciones, entre ellas: la Policía Nacional de Rumania y la Dirección de Investigación de la Delincuencia Organizada y el Terrorismo; La Real Policía Montada de Canadá; Tribunal de París de Francia y BL2C (unidad de policía contra el ciberdelito); Policía Nacional Holandesa; La Fiscalía Nacional de Polonia, la Guardia de Fronteras, la Agencia de Seguridad Interna y el Ministerio de Justicia; y los gobiernos de Noruega y Australia proporcionaron una valiosa ayuda.
La Red de Ejecución de Delitos Financieros del Departamento del Tesoro de EE. UU. (FinCEN), la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional (CISA), la Fiscalía de Alemania en Stuttgart y la Oficina Estatal de Investigación Criminal de Baden-Wuerttemberg; La Fiscalía II de Suiza del Cantón de Zúrich y la Policía Cantonal de Zúrich; Agencia Nacional contra el Crimen del Reino Unido; Servicio Secreto de Estados Unidos; Departamento de Recursos de Información de Texas; BitDefender; McAfee; y Microsoft también brindó una asistencia significativa.
Este caso es parte del Grupo de trabajo de ransomware y extorsión digital del Departamento de Justicia, que se creó para combatir el creciente número de ataques de ransomware y extorsión digital. Como parte del grupo de trabajo, la División de lo Penal, en colaboración con las Fiscalías de EE. UU., Prioriza la interrupción, la investigación y el enjuiciamiento de la actividad de ransomware y extorsión digital mediante el seguimiento y desmantelamiento del desarrollo y despliegue de malware, identificando a los ciberdelincuentes responsables y responsabilizar a esas personas por sus delitos. El departamento, a través del grupo de trabajo, también apunta estratégicamente al ecosistema criminal de ransomware en su conjunto y colabora con agencias gubernamentales nacionales y extranjeras, así como con socios del sector privado para combatir esta importante amenaza criminal.
Para obtener más información sobre el grupo de trabajo sobre ransomware y extorsión digital, lea el reciente memorando de orientación del Fiscal General Adjunto sobre investigaciones y casos relacionados. Para obtener más recursos sobre prevención y respuesta al ransomware, visite StopRansomware.gov .
Una acusación es simplemente una acusación, y todos los acusados se presumen inocentes hasta que se pruebe su culpabilidad más allá de una duda razonable en un tribunal de justicia.