Según un nuevo informe publicado el lunes por la empresa de análisis de cadenas de bloques Chainalysis, aproximadamente el 74%, o más de USD 400 millones estadounidenses, de los ingresos por ransomware el año pasado se canalizaron a direcciones de billeteras de alto riesgo que probablemente estén ubicadas en Rusia. El informe analizó los ataques de ransomware a lo largo de 2021 y determinó su afiliación a Rusia a través de tres características clave:
- Existen rastros de una organización ciberdelincuente con sede en Rusia, Evil Corp, detrás de una brecha específica; el grupo tiene presuntos vínculos con el gobierno ruso.
- Ransomeware programado solo contra víctimas de países no ex soviéticos.
- Cepas de ransomware que comparten documentos y anuncios en ruso.
Además de los criterios de selección, parece que los datos de tráfico web confirman que la gran mayoría de los fondos extorsionados se lavan a través de Rusia. Otro 13% de los fondos enviados desde direcciones de ransomware a servicios se destinaron a usuarios que probablemente se encontraban en Rusia, más que cualquier otra región. Estas cepas de ransomware suelen infectar la computadora de un usuario a través de un exploit de programa, o al descargar archivos desconocidos, etc. Luego encriptan los archivos de la víctima y exigen el pago, con mayor frecuencia, a través de Bitcoin (BTC) o Monero (XMR) a una dirección de billetera para que los archivos sean accesibles.
Un caso famoso ocurrió el año pasado cuando la entidad de hacking con sede en Rusia Darkside, a través de la explotación de una sola contraseña filtrada, infectó los sistemas informáticos de Colonial Pipeline. Como resultado, los operadores del oleoducto se vieron obligados a pagar más de USD 4 millones en criptomonedas (de las cuales se recuperaron USD 2,3 millones) para recuperar el acceso a sus archivos cifrados, pero no sin antes causar una breve crisis de combustible durante la prueba.
Hack cripto de ransomware ruso | Fuente: Reuters