Una compleja red transnacional de delitos informáticos organizados que usó el malware GozNym en un intento de robar unos 100 millones de dólares de víctimas inocentes en los Estados Unidos y en todo el mundo ha sido desmantelada como parte de una operación internacional de aplicación de la ley.
GozNym infectó a decenas de miles de computadoras víctimas en todo el mundo, principalmente en los Estados Unidos y Europa. La operación fue destacada por el inicio sin precedentes de procesos penales contra miembros de la red en cuatro países diferentes como resultado de la cooperación entre los Estados Unidos, Georgia, Ucrania, Moldavia, Alemania, Bulgaria, Europol y Eurojust.
El fiscal estadounidense Scott W. Brady, del Distrito Oeste de Pennsylvania, hizo el anuncio en Europol, ubicado en La Haya, Países Bajos, junto con sus socios internacionales.
La operación fue llevada a cabo por la Oficina del Fiscal Federal para el Distrito Oeste de Pennsylvania y la Oficina de Campo de Pittsburgh del FBI, junto con la Oficina del Fiscal General de Georgia, Oficina del Fiscal General de Ucrania, Oficina del Fiscal General de la República de Moldavia , Ministerio Público de Verden (Alemania), Fiscalía Suprema de Casación de la República de Bulgaria, Ministerio del Interior de Georgia, Policía Nacional de Ucrania, Inspección General de Policía de la República de Moldavia, Policía de Luneburg de Alemania y la República de la Dirección General de Bulgaria para Combatir la Delincuencia Organizada con la importante asistencia de Europol y Eurojust.
“La aplicación de la ley internacional ha reconocido que la única manera de interrumpir y derrotar verdaderamente las redes transnacionales y anónimas es hacerlo en sociedad”, dijo el Fiscal Federal Brady. “La persecución colaborativa y simultánea de los miembros de la conspiración criminal de GozNym en cuatro países representa un cambio de paradigma en la forma en que investigamos y procesamos los delitos cibernéticos. La ciberdelincuencia victimiza a personas de todo el mundo. Esta acusación representa un esfuerzo de cooperación internacional para llevar a los ciberdelincuentes a la justicia “.
Anteriormente, la Oficina del Fiscal Federal para el Distrito Oeste de Pensilvania dio a conocer una Acusación devuelta por un gran jurado federal en Pittsburgh, acusando a 10 miembros de la red criminal de GozNym con conspiración para cometer fraude informático, conspiración para cometer fraude bancario, fraude bancario y conspiración para cometer lavado de dinero. Un undécimo miembro de la conspiración fue acusado previamente en una Acusación relacionada. Las víctimas de estos crímenes fueron principalmente empresas estadounidenses y sus instituciones financieras, incluidas varias víctimas ubicadas en el Distrito Oeste de Pennsylvania.
| “Este derribo destaca la importancia de colaborar con nuestros socios internacionales encargados de hacer cumplir la ley en contra de esta evolución del crimen cibernético organizado”, dijo el agente especial a cargo del FBI Pittsburgh, Robert Jones. “La investigación y el procesamiento exitosos solo son posibles compartiendo inteligencia, crédito y responsabilidad. Nuestros adversarios saben que somos más débiles a lo largo de las costuras y este caso es un ejemplo fantástico de lo que podemos lograr colectivamente “. |
Según la Acusación, los acusados conspiraron para:
- infecte las computadoras de las víctimas con el malware GozNym diseñado para capturar las credenciales de inicio de sesión de banca en línea de las víctimas;
- use las credenciales de inicio de sesión capturadas para obtener acceso no autorizado a las cuentas bancarias en línea de las víctimas de manera fraudulenta; y,
- robar dinero de las cuentas bancarias de las víctimas y lavar esos fondos utilizando cuentas bancarias de los beneficiarios estadounidenses y extranjeros controladas por los demandados.
Los acusados residen en Rusia, Georgia, Ucrania, Moldavia y Bulgaria. La operación fue un esfuerzo internacional sin precedentes para compartir evidencia e iniciar procesos penales contra miembros de la misma red criminal en múltiples países.
A solicitud de Estados Unidos, Krasimir Nikolov, también conocido como “pablopicasso”, “salvadordali” y “karlo” de Varna, Bulgaria, fue registrado y arrestado por las autoridades búlgaras y extraditado a Estados Unidos en diciembre de 2016 para enfrentar el procesamiento en El distrito occidental de Pennsylvania. El rol principal de Nikolov en la conspiración fue el de un “cobrador” o “especialista en adquisición de cuenta” que utilizó las credenciales bancarias en línea robadas de las víctimas capturadas por el malware de GozNym para acceder a las cuentas bancarias en línea de las víctimas e intentar robar el dinero de las víctimas mediante transferencias electrónicas de fondos Cuentas bancarias controladas por compañeros conspiradores. Nikolov es nombrado como un conspirador de GozNym en la nueva acusación sin sellar, a pesar de que está acusado en una acusación relacionada presentada en el Distrito Oeste de Pennsylvania.
Cinco de los acusados nombrados residen en Rusia y siguen siendo fugitivos de la justicia. Sin embargo, para superar la incapacidad de extraditar a los acusados restantes a los Estados Unidos para su procesamiento, se realizó un esfuerzo sin precedentes para compartir pruebas y generar juicios contra los acusados en los países restantes donde residen, incluidos Georgia, Ucrania y Moldavia. Los juicios se basan en pruebas compartidas adquiridas a través de búsquedas coordinadas de pruebas en Georgia, Ucrania, Moldavia y Bulgaria, así como en pruebas compartidas por los Estados Unidos y Alemania de sus respectivas investigaciones.
La red GozNym ejemplificó el concepto de “delito cibernético como un servicio”. Según la Acusación, los acusados publicitaron sus habilidades técnicas especializadas y servicios en foros clandestinos clandestinos, en idioma ruso, en línea. La red de GozNym se formó cuando estas personas fueron reclutadas de los foros en línea y se unieron para usar sus habilidades y servicios técnicos especializados para promover la conspiración.
Según la Acusación, Alexander Konovolov, alias “NoNe” y “none_1”, de 35 años, de Tbilisi, Georgia, fue el principal organizador y líder de la red de GozNym que controlaba más de 41,000 computadoras víctimas infectadas con malware de GozNym. Konovolov reunió al equipo de ciberdelincuentes acusados en la Acusación, en parte reclutándolos a través de los foros criminales en línea clandestinos. Marat Kazandjian, también conocido como “phant0m”, de 31 años, de Kazajstán y Tbilisi, Georgia, fue supuestamente asistente principal y administrador técnico de Konovolov. Konovolov y Kazandjian están siendo procesados en Georgia por sus respectivos papeles en la red criminal de GozNym.
Gennady Kapkanov, también conocido como “Hennadiy Kapkanov”, “flux”, “ffhost”, “firestarter” y “User 41”, de 36 años de edad, de Poltava, Ucrania, era administrador de un servicio de alojamiento a prueba de balas conocido por la policía y la seguridad informática. Investigadores como la red “Avalanche”.. Esta red proporcionó servicios a más de 200 ciberdelincuentes, incluidos Konovolov y Kazandjian, y albergó más de 20 campañas de malware diferentes, incluido GozNym. El departamento de Kapkanov en Poltava, Ucrania, fue registrado en noviembre de 2016 durante una operación liderada por Alemania para desmantelar los servidores de la red y otra infraestructura. Kapkanov fue arrestado por disparar un rifle de asalto a través de la puerta de su apartamento a los oficiales de la ley ucranianos que realizaban el registro. A través de los esfuerzos coordinados que se anunciaron hoy, Kapkanov se enfrenta ahora a un proceso judicial en Ucrania por su papel en la prestación de servicios de alojamiento a prueba de balas a la red criminal de GozNym.
Alexander Van Hoof, también conocido como “al666”, de 45 años, de Nikolaev, Ucrania, fue un “retiro de efectivo” o “drop master” que proporcionó a otros miembros de la conspiración acceso a cuentas bancarias que controlaba y que fueron designadas para recibir fondos robados De las cuentas bancarias en línea de las víctimas de GozNym.
Eduard Malanici, alias “JekaProf”, y “procryptgroup, de 32 años, de Balti, Moldavia, brindaron servicios de cifrado a los ciberdelincuentes. Malanici cifró el malware de GozNym para promover la conspiración para permitir que el malware evite la detección con herramientas antivirus y software de protección en las computadoras de las víctimas. Malanici, junto con dos asociados, está siendo procesado en Moldavia.
Las víctimas de los ataques de malware de GozNym incluyen:
- Un negocio de asfalto y pavimentación ubicado en New Castle, Pennsylvania;
- Un bufete de abogados ubicado en Washington, DC;
- Una iglesia ubicada en Southlake, Texas;
- Una asociación dedicada a proporcionar programas de recreación y otros servicios para personas con discapacidades ubicadas en Downers Grove, Illinois;
- Un distribuidor de equipos médicos y de neurocirugía con sede en Friburgo, Alemania, con una filial de Estados Unidos en Cabo Coral, Florida;
- Un negocio de muebles ubicado en Chula Vista, California;
- Un proveedor de dispositivos de seguridad eléctrica ubicado en Cumberland, Rhode Island;
- Un negocio de contratación ubicado en Warren, Michigan;
- Un casino ubicado en Gulfport, Mississippi;
- Una granja de sementales ubicada en Midway, Kentucky; y
- Una oficina de abogados ubicada en Wellesley, Massachusetts;
Cinco ciudadanos rusos acusados en la acusación que siguen siendo fugitivos de la justicia incluyen:
Vladimir Gorin, también conocido como “Voland”, “mrv” y “riddler”, de Orenburg, Rusia. Gorin fue un desarrollador de malware que supervisó la creación, el desarrollo, la administración y el alquiler de malware de GozNym, incluido Alexander Konovolov.
Konstantin Volchkov, también conocido como “elvi”, de 28 años, de Moscú, Rusia, proporcionó servicios de spamming a los ciberdelincuentes. Volchkov realizó operaciones de correo no deseado de malware GozNym en nombre de la conspiración. Las operaciones de spam involucraron la distribución masiva de malware GozNym a través de correos electrónicos de “phishing”. Los correos electrónicos de suplantación de identidad (phishing) fueron diseñados para parecer legítimos para atraer a los destinatarios de la víctima a abrirlos y hacer clic en un enlace o archivo adjunto malicioso, lo que facilitó la descarga de GozNym en las computadoras de las víctimas.
Ruslan Katirkin, alias “stratos” y “xen”, de 31 años, de Kazan, Rusia, residió en Khmelnytskyi, Ucrania, durante el período de la conspiración acusada. Katirkin, al igual que Krasimir Nikolov, era un “cobrador” o “especialista en adquisición de cuenta” que usaba las credenciales bancarias en línea robadas de las víctimas capturadas por el malware de GozNym para acceder a las cuentas bancarias en línea de las víctimas e intentar robar el dinero de las víctimas mediante transferencias electrónicas de fondos a cuentas bancarias controlado por compañeros conspiradores.
Viktor Vladimirovich Eremenko, también conocido como “nfcorpi”, de 30 años, de Stavropol, Rusia, y Farkhad Rauf Ogly Manokhin, también conocido como “frusa”, de Volgogrado, Rusia, fueron “cash-outs” o “drop masters” en nombre del criminal GozNym red. Al igual que Alexander Van Hoof, Eremenko y Manokhin les brindaron a los miembros de la conspiración acceso a las cuentas bancarias que controlaban y que estaban designadas para recibir fondos robados de las cuentas bancarias en línea de las víctimas de GozNym. Manokhin fue arrestado a petición de los Estados Unidos mientras visitaba Sri Lanka en febrero de 2017. Después de su arresto, Manokhin fue puesto en libertad bajo fianza pero se le exigió que permaneciera en Sri Lanka hasta que finalice su proceso de extradición a los Estados Unidos. En diciembre de 2017,
Otras agencias y organizaciones que se asocian en este esfuerzo incluyen el Servicio Secreto de los Estados Unidos, la Alianza Nacional de Ciber-Forense y Capacitación (NCFTA) en Pittsburgh y la Fundación Shadowserver. La Oficina de Asuntos Internacionales del Departamento de Justicia brindó una asistencia significativa durante la investigación y encabezó los esfuerzos para permitir que Estados Unidos solicite registros, arrestos y extradiciones en países extranjeros, así como el intercambio de pruebas con esos países a través de solicitudes del Tratado de Asistencia Legal Mutua. .
El caso está siendo procesado por el fiscal federal adjunto Charles A. “Tod” Eberle, jefe de seguridad nacional y delito cibernético para el distrito occidental de Pensilvania.
ALD/Justice.gov
