Hacker ruso sentenciado a 2 años por ataques de ransomware con botnet TA551

Un hacker ruso, Ilya Angelov, de 40 años y residente en Tolyatti, Rusia, ha sido sentenciado a dos años de prisión por gestionar una botnet (una red de ordenadores infectados y controlados remotamente) utilizada para lanzar ataques de ransomware contra empresas estadounidenses. Además de la pena de prisión, Angelov deberá pagar una multa de 100.000 dólares. Este caso subraya la persistente amenaza de los ciberdelincuentes que operan desde el extranjero y el impacto que pueden tener en la seguridad de las empresas.

¿Qué es TA551 y cómo operaba?

Angelov era uno de los responsables del grupo cibercriminal TA551, también conocido por otros alias como ATK236, G0127, Gold Cabin, Hive0106, Mario Kart, Monster Libra, Shathak y UNC2420. Este grupo operó entre 2017 y 2021, creando una red de ordenadores comprometidos mediante el envío masivo de correos electrónicos spam que contenían archivos infectados con malware (software malicioso).

• TA551 construyó una botnet a través de correos electrónicos spam con archivos infectados.
• Vendían acceso a los ordenadores infectados (bots) a otros grupos criminales.
• Desarrollaron programas para distribuir spam y refinar malware para evitar las herramientas de seguridad.
• Reclutaron miembros y supervisaron actividades ilícitas.

Su conexión con ataques de ransomware

El principal objetivo de TA551 era revender el acceso a su botnet a otros grupos criminales, quienes lo utilizaban para realizar ataques de ransomware (un tipo de ataque donde se secuestran los archivos de la víctima y se exige un rescate para liberarlos). Entre agosto de 2018 y diciembre de 2019, TA551 proporcionó acceso a su botnet al grupo de ransomware BitPaymer, permitiéndoles infectar a 72 empresas estadounidenses y obtener más de 14.17 millones de dólares en pagos de rescate.

Además, los operadores del malware IcedID pagaron al grupo de Angelov más de un millón de dólares para acceder a la botnet a finales de 2019 o principios de 2020 y distribuir ransomware. Se cree que esta colaboración se produjo después de que el grupo BitPaymer fuera desmantelado.

Colaboraciones con otros grupos criminales

A lo largo de su actividad, TA551 colaboró con otros grupos de ciberdelincuentes:

• En noviembre de 2021, se descubrió que los operadores del troyano TrickBot trabajaban con TA551 para distribuir el ransomware Conti.
• El mismo mes, el CERT-FR (Equipo de Respuesta a Emergencias Informáticas de Francia) reveló que el grupo de ransomware Lockean estaba utilizando los servicios de distribución de TA551 tras la desactivación de la botnet Emotet a principios de 2021.

¿Qué significa esto para ti?

Este caso demuestra que los ciberdelincuentes, incluso aquellos que operan desde el extranjero, pueden ser rastreados y llevados ante la justicia. Sin embargo, también subraya la necesidad de que las empresas y los usuarios tomen medidas proactivas para protegerse contra ataques de ransomware y otras amenazas cibernéticas. Esto incluye mantener el software actualizado, ser cauteloso con los correos electrónicos sospechosos y utilizar soluciones de seguridad robustas. La ciberseguridad es una responsabilidad compartida, y cada uno debe hacer su parte para protegerse a sí mismo y a los demás.