FBI capturó a operador de ransomware que amasó USD 27 millones en bitcoin

El Departamento de Justicia (DOJ) de Estados Unidos informó la captura de Sebastien Vachon-Desjardins. El ciudadano de nacionalidad canadiense es acusado de haber obtenido al menos 27,6 millones de dólares en bitcoin (BTC) por operar un ataque de ransomware tipo NetWalker, contra una empresa situada en Florida.

Los fiscales norteamericanos anunciaron el miércoles 27 de enero que el FBI, junto con la policía de Bulgaria, desconectaron un sitio web en la darknet que los hackers utilizaban para extorsionar a sus víctimas. En su lugar ahora aparece un mensaje: “Este sitio oculto ha sido incautado por el FBI, como parte de una acción policial coordinada contra el ransomware NetWalker”. Unos USD 450.000 en bitcoin fueron incautados.

La firma de investigación de blockchains, Chainalysis, publicó un informe relacionado con este ransomware en el que revela que unas 345 direcciones estaban asociadas con Vachon-Desjardins. Sus cuentas mantenían un registro de transacciones desde febrero del año 2018 hasta el día de su detención. Durante ese tiempo llegó a recibir un pago en bitcoin equivalente a unos USD 14 millones, un botín que ahora tiene un valor de 27 millones de dólares por el aumento de precio de la criptomoneda.

El canadiense habría participado en al menos 91 ataques utilizando un modelo de negocio conocido como ransomware as-a-service (RaaS). Bajo esta fórmula los hackers diseñan software malicioso que ponen a disposición de terceros para que lo puedan comprar como una herramienta a través de diferentes modelos de distribución.

Ransomware en alquiler a cambio de bitcoin

En su documento, el DOJ señala que está trabajando con la idea de desbaratar la estructura criminal que opera con el ransomware NetWalker. El concepto detrás de este tipo de ataque opera bajo una sofisticada estructura. Bajo el modelo RaaS existen grupos que proporcionan a otros las herramientas para mantener los archivos como rehenes a cambio de un alquiler o pago de afiliación que suele hacerse en bitcoin, como muestra el informe de Chainalysis.

En la estructura delictiva participa un administrador o desarrollador del malware, un afiliado y dos comisionados. Cada uno obtiene un porcentaje de las ganancias concretadas con cada ataque. Según explica el informe, un afiliado como Vachon-Desjardins, generalmente es responsable de obtener acceso a la red de víctimas y de implementar el malware. “Hay casos en los que un monedero obtiene el 100% del pago, que creemos pertenece al administrador de NetWalker e indica que él o ella, también pueden estar directamente involucrados en algunos de los ataques”.

Un ataque de ransomware es posible una vez que el hacker consigue acceso ilegal a los servidores conectados a empresas, universidades o centros de salud. Tras ingresar se cortan todos los procesos y servicios, se cifran los archivos del disco y se eliminan las copias de seguridad que se almacenan en la misma red. Como consecuencia, todo lo almacenado en los dispositivos de la víctima quedan inaccesibles.

Posteriormente los atacantes obtienen acceso a datos sensibles, que luego utilizan para chantajear a sus víctimas para que paguen un rescate a cambio de que sus archivos sigan siendo privados y no se filtren en Internet. Las capturas de pantalla de los archivos robados, junto con una dirección de bitcoin, son revelados a la víctima, quienes tienen un tiempo determinado para pagar el rescate, y si no lo hacen todo lo que había en sus máquinas afectadas quedará expuesto.

Según las autoridades estadounidenses, NetWalker ha impactado al menos a 305 víctimas de 27 países diferentes, incluidas 203 en los EE. UU., 6 en Argentina y 2 en España. Chainalysis dice haber rastreado más de USD 46 millones en rescates de NetWalker desde que entró en escena por primera vez en agosto de 2019. “Ninguna otra categoría de delitos basados en criptomonedas tuvo una tasa de crecimiento más alta que el ransomware en 2020″, señala la firma.

En agosto del año pasado CriptoNoticias reportó que un ataque tipo NetWalker secuestró los archivos que contenían datos de las investigaciones sobre el Covid-19 que adelantaba la Universidad de California en San Francisco. La institución se vio obligada a pagar 118 bitcoins (USD 1,39 millones) por el rescate de los documentos.