Especialista en ciberseguridad expuso a una infame pandilla rusa de ransomware


Washington (CNN) — Cuando la artillería rusa comenzó a llover sobre su patria el mes pasado, un investigador en ciberseguridad de Ucrania decidió contraatacar de la mejor manera que sabía: saboteando una de las pandillas de ransomware más infames de Rusia.

A los cuatro días de la invasión rusa, el investigador comenzó a publicar la mayor filtración de archivos y datos de Conti, un sindicato de ciberdelincuentes rusos y de Europa del Este buscado por el FBI por realizar ataques a cientos de organizaciones estadounidenses y causar pérdidas millonarias.

Los miles de documentos y comunicaciones internas incluyen pruebas que parecen sugerir que los agentes de Conti tienen contactos con el gobierno de Rusia, incluido el servicio de inteligencia FSB. Esto respalda una antigua acusación de EE.UU. de que Moscú ha conspirado con los ciberdelincuentes para obtener ventajas estratégicas.

El informático ucraniano que está detrás de la filtración habló en exclusiva con CNN y describió su motivación para buscar venganza después de que los operativos de Conti publicaran una declaración de apoyo al gobierno de Rusia inmediatamente luego de que comenzara la invasión de Ucrania. También describió sus esfuerzos desesperados por localizar a sus seres queridos en Ucrania en las últimas semanas.

Para proteger su identidad, CNN aceptó referirse a él con un seudónimo: Danylo.

“No puedo dispararle a nada, pero puedo luchar con un teclado y un ratón”, dijo Danylo a CNN.

Mariúpol Ucrania

Miembros del servicio de las tropas prorrusas conducen vehículos blindados frente a los residentes locales durante el conflicto entre Ucrania y Rusia en la sitiada ciudad portuaria del sur de Mariúpol, Ucrania 24 de marzo de 2022.

El conjunto de datos que Danylo filtró a finales de febrero ilustra por qué la ciberseguridad ha sido un tema tan tenso en las relaciones entre Estados Unidos y Rusia. Incluye las cuentas de criptomoneda que los hackers de Conti utilizaron para supuestamente obtener millones de dólares en pagos de rescate, sus discusiones sobre cómo extorsionar a las empresas estadounidenses y su aparente objetivo de un periodista que investigaba el envenenamiento del crítico del Kremlin Alexey Navalny.

Pero también muestra lo difícil que puede ser desactivar las operaciones de ransomware. A pesar de que Danylo desenmascaró sus operaciones, los hackers siguen anunciando nuevas víctimas.

Danylo, que ha trabajado como investigador de ciberseguridad durante años y ha estudiado la economía clandestina de los ciberdelincuentes en Europa, es solo un vigilante en una guerra en la sombra que ha surgido entre los hackers y los ejecutivos de ciberseguridad que han prometido apoyar a los gobiernos de ambos lados del conflicto mientras se prolonga la mayor guerra terrestre en Europa desde la Segunda Guerra Mundial.

Pero al desbaratar un grupo tan notorio como Conti, Danylo ha ganado más atención que otros. Según Danylo, el FBI se puso en contacto con él después de que empezara a filtrar los archivos del Conti, pidiéndole que dejara de hacerlo.

El FBI se negó a hacer comentarios.

Járkiv Ucrania

Los bomberos trabajan para extinguir un incendio en un almacén después de que fuera alcanzado por los bombardeos rusos el 28 de marzo de 2022 en Járkiv, Ucrania.

CNN corroboró la afirmación de Danylo de que era el filtrador al revisar las pruebas de que tenía acceso a la cuenta de Twitter que publicaba los datos de Conti, así como a un sitio web que Danylo y otra persona, a la que se le concedió el anonimato para su protección, utilizaban para compartir los datos contenidos en las filtraciones.

Danylo no ha hablado con los medios de comunicación sobre sus motivos hasta ahora. Lo hizo mientras navegaba por un país devastado por la guerra al que acababa de regresar y apenas podía reconocer.

“Es mi país”, dijo en una entrevista telefónica. “Si ellos [el gobierno de Ucrania] me proporcionan armas, vale, iré a luchar. Pero se me da mejor teclear”.

Venganza digital

Danylo afirma que primero obtuvo acceso a los sistemas de cómputo utilizados por lo que se convertiría en el sindicato Conti en 2016.

Aunque no quiso explicar en detalle cómo lo hizo, expertos independientes en seguridad han verificado a CNN que el conjunto de datos pertenece a los hackers. (Conti es tanto el nombre del software malicioso como el del sindicato de ciberdelincuentes que lo utiliza. El grupo también está afiliado a TrickBot, otra herramienta de hackeo utilizada en numerosos ataques de ransomware).

“A veces cometen errores”, dijo Danylo, refiriéndose a los grupos de ransomware. “Hay que atraparlos cuando se equivocan. Yo estaba en el lugar adecuado en el momento adecuado. Los estaba vigilando”.

Durante años, dijo Danylo, estuvo al acecho de los servidores de los ciberdelincuentes y pasaba información sobre las operaciones del grupo a las fuerzas del orden europeas.

El ransomware de Conti ha hecho estragos en los dos últimos años, y los hackers han cobrado numerosas víctimas cada semana.

En septiembre de 2020, los ciberdelincuentes afirmaron haber robado archivos de casos de un tribunal de distrito en Louisiana. En marzo de 2021, el ransomware Conti se utilizó en un hackeo que afectó a las redes informáticas del sistema de salud pública de Irlanda, con un costo de US$ 25.000 millones, interrumpiendo las operaciones en una sala de maternidad en Dublín.

El trabajo oscuro fue lucrativo: los hackers que utilizaron el ransomware Conti recibieron al menos US$ 25,5 millones en pagos de rescates en solo cuatro meses en 2021, según Elliptic, una firma que rastrea las transacciones de criptodivisas.

Mariúpol Ucrania

Esta fotografía muestra un edificio derrumbado mientras los civiles son evacuados a lo largo de los corredores humanitarios de la ciudad ucraniana de Mariúpol bajo el control de los militares rusos y los separatistas prorrusos, el 26 de marzo de 2022.

Pero algo se rompió en Danylo el 25 de febrero de 2022, cuando los agentes de Conti publicaron una declaración en la que prometían su “pleno apoyo” al gobierno de Rusia en su ataque a Ucrania.

Un ataque aéreo ruso había aterrizado no muy lejos de la casa de un miembro de la familia. El investigador de ciberseguridad creció en Ucrania cuando formaba parte de la Unión Soviética. No quería verla caer de nuevo en manos rusas.

Los miembros del Conti intentaron retractarse de su declaración, afirmando que no apoyaban a ningún gobierno, pero Danylo ya había oído suficiente.

Al preguntarle de nuevo por qué filtró los datos del Conti, Danylo dijo riéndose: “Para demostrar que son unos hijos de p***”. Estaba agotado tras un largo día recorriendo los puestos de control militares en Ucrania, a la caza de cigarrillos y mirando al cielo en busca de señales del próximo ataque aéreo.

Contactado por el FBI

Conti es exactamente el tipo de grupo de ransomware prolífico al que el presidente Joe Biden exhortó el año pasado al presidente de Rusia Vladimir Putin a poner en cintura en medio de una oleada de ataques a las infraestructuras críticas de Estados Unidos.

El Kremlin pareció dejar entrever la posibilidad de colaborar con Estados Unidos en la lucha contra la ciberdelincuencia este mes de enero, cuando la agencia de inteligencia rusa FSB anunció la detención de varios ciberdelincuentes acusados. Pero las posibilidades de cooperación bilateral en materia de ciberdelincuencia se han reducido tras la invasión rusa de Ucrania, que ha terminado con la vida de más de 1.000 civiles, según las Naciones Unidas, y ha convertido a Putin en un paria internacional.

Civiles atrapados en la ciudad de Mariúpol bajo los ataques rusos, son evacuados en grupos bajo el control de los separatistas prorrusos, a través de otras ciudades, Mariúpol, Ucrania, el 20 de marzo de 2022.

Después de empezar a filtrar los datos, dijo Danylo, un agente especial del FBI se puso en contacto con él y le pidió que dejara de hacerlo.

Exponer la infraestructura del Conti podría, en teoría, dificultar que el FBI monitoree al grupo ya que este podría crear nuevos sistemas.

Danylo dejó de filtrar información, por ahora. Pero dice que todavía tiene acceso a algunos sistemas del Conti.

Al menos un funcionario de las fuerzas del orden que habló con CNN habría preferido que Danylo hubiera mantenido ese acceso encubierto, en lugar de alertar al sindicato del ransomware de su presencia al filtrar los datos.

“Publicar información como lo hizo [el filtrador] es imprudente”, dijo un funcionario de Estados Unidos a CNN. “Trabajar en cooperación con las fuerzas del orden puede lograr un impacto más sustancial y duradero en la interrupción de las operaciones de grupos como Conti”.

Sin embargo, John Fokker, antiguo investigador de cibercrimen de la policía de los Países Bajos, dijo que la filtración podría ser realmente útil para los policías que persiguen a los ciberdelincuentes.

“Sí, la infraestructura puede quedar obsoleta. Sin embargo, la cantidad de datos proporcionados en las filtraciones me hacen confiar en que las fuerzas de seguridad obtuvieron la información que necesitan para redactar acusaciones contra individuos clave”, dijo Fokker, que trabaja estrechamente con las fuerzas de seguridad europeas como jefe de investigaciones cibernéticas en la empresa de seguridad Trellix.

Un catálogo de delitos

Las filtraciones de Conti son un sorprendente catálogo de los supuestos delitos de una empresa criminal multimillonaria.

CNN evaluó y tradujo los documentos originales que Danylo compartió con el mundo a través de Twitter.

Las comunicaciones muestran a los miembros del Conti, cada uno con un alias en los registros de chat, discutiendo la conveniencia de extorsionar a las pequeñas empresas estadounidenses, aparentemente absteniéndose de atacar a objetivos rusos, e interesándose por un periodista que escribe sobre Alexey Navalny, figura de la oposición rusa que fue encarcelado y envenenado.

En abril de 2021, los miembros de Conti “mango” y “johnyboy77” discutieron planes para acceder a archivos pertenecientes a un periodista para el medio de investigación Bellingcat, que había publicado una investigación conjunta con CNN en diciembre de 2020 sobre el presunto papel de la agencia de inteligencia FSB de Rusia en el envenenamiento de Navalny.

“Hermano, no te olvides de Navalny, se lo señalé al jefe; está esperando los detalles”, escribió mango a johnyboy77 en ruso.

No está claro quién es “el jefe” en este intercambio. Pero Christo Grozev, el principal investigador ruso de Bellingcat, tuiteó que el chat filtrado corroboró una sugerencia anónima que recibió Bellingcat que decía que “un grupo mundial de ciberdelincuencia que actúa por orden del FSB ha hackeado a uno de sus colaboradores”.

Los operativos de Conti se refieren en sus chats a Liteyny Avenue en St. Petersburg, que es el hogar de las oficinas locales del FSB, según Kimberly Goody, directora de análisis de delitos cibernéticos en la firma de seguridad Mandiant.

“En términos generales, no sería relativamente sorprendente saber que una operación tan extensa como esta no sería aprovechada de alguna manera como un activo [por el gobierno ruso] en un momento dado”, dijo Goody a CNN.

Un militar ucraniano se encuentra entre los escombros después de un bombardeo en una zona residencial de Kyiv, Ucrania, el 18 de marzo.

La embajada rusa en Washington no respondió a una solicitud de comentarios. El gobierno ruso ha negado durante mucho tiempo las acusaciones de que hace la vista gorda ante el delito cibernético.

También parece haber una correlación entre las filtraciones de Conti y las advertencias públicas de los funcionarios de ciberseguridad de EE.UU., lo que sugiere que las autoridades federales han estado observando de cerca al grupo.

El 26 de octubre de 2020, mientras los hospitales de EE.UU. continuaban tambaleándose por los casos de coronavirus, un miembro de Conti con el alias Troy le escribió a otro miembro en ruso: “A la mi**** las clínicas en EE.UU. esta semana… Habrá pánico. 428 hospitales”.

Dos días después, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA, por sus siglas en inglés) emitieron una advertencia sobre los ataques de ransomware en hospitales, muchos de los cuales usaban una pieza de software malicioso que los documentos filtrados vinculan a los operativos de Conti. No estaba claro qué inteligencia específica provocó la advertencia federal sobre los hospitales, pero la sincronización fue sorprendente.

“Es mi trabajo”

Los ciberataques han jugado un papel secundario en la guerra en Ucrania. La Casa Blanca acusó a la agencia de inteligencia militar rusa GRU de desconectar sitios web clave del gobierno ucraniano antes de la invasión. (Un cargo que el Kremlin niega). Los funcionarios estadounidenses también están investigando el hackeo de una red satelital que sirve a partes de Ucrania, que ocurrió cuando comenzó la invasión rusa, como un posible hackeo patrocinado por el estado ruso, reportó CNN anteriormente.

Por su parte, el gobierno ucraniano ha alentado a un “ejército de TI” de hackers informáticos voluntarios en Ucrania y en el extranjero para realizar ataques cibernéticos contra organizaciones rusas.

En el ciberespacio ucraniano de todos contra todos, los combatientes como Danylo se involucran en sus propios términos.

Una vista aérea del centro comercial completamente destruido después de un bombardeo ruso en Kyiv, Ucrania, el 21 de marzo de 2022.

Cuando se le preguntó cómo ha estado en los últimos días, las respuestas de Danylo han sido consistentes: “Sigo vivo”.

Ver casas y escuelas convertirse en escombros ha drenado el vigor de su voz.

Danylo recordó, en los primeros días de la guerra, entrar en un búnker durante un bombardeo con su computadora portátil y trabajar en los archivos de Conti. Otra persona en el búnker estaba desconcertada porque estaba concentrado en su computadora en medio del bombardeo.

“¿Qué diablos estás haciendo?”, recordó Danylo que le dijo.

Danylo se reía nerviosamente mientras contaba la historia. “Es mi trabajo”, le dijo a CNN. “[Lo hago] porque puedo”.

Después de semanas de vivir la guerra, Danylo le dijo a CNN que esta semana salió de forma segura de Ucrania con su computadora portátil.





MÁS INFORMACIÓN