El Tribunal de Distrito de los Estados Unidos para el Distrito Este de Nueva York ha revelado una acusación contra Volodymyr Viktorovich Tymoshchuk, un ciudadano ucraniano, por su presunto papel como administrador en múltiples esquemas de ransomware. TyMoshchuk, que opera bajo alias como Deadforz, Boba, MSFV y Farnetwork, enfrenta cargos relacionados con LockGoGoGa, Megacortex y Nefilim Ransomware Operations que se dirigieron a cientos de compañías en todo el mundo.
Volodymyr TyMoshchuk Operaciones de ransomware dirigidas a 250 compañías estadounidenses y cientos de todo el mundo
Según los documentos judiciales, Tymoshchuk supuestamente utilizó las variantes de ransomware de LockGoGa, Megacortex y Nefilim entre diciembre de 2018 y octubre de 2021 para cifrar las redes informáticas en múltiples países. Las ubicaciones afectadas incluyen el Distrito Este de Nueva York, otras regiones estadounidenses, Francia, Alemania, los Países Bajos, Noruega y Suiza. Entre julio de 2019 y junio de 2020, TyMoshchuk y los conspiradores supuestamente comprometieron a más de 250 compañías víctimas en los Estados Unidos y cientos más en todo el mundo utilizando variantes de ransomware de LockerGoga y Megacortex.
Los archivos ejecutables de ransomware personalizados aseguraron la dependencia de las víctimas
Los ataques implicaron personalizar archivos ejecutables de ransomware para cada víctima específica, generando claves de descifrado únicas adaptadas a redes individuales. Esta personalización aseguró que solo los perpetradores poseían los medios para desbloquear archivos cifrados. Las herramientas de descifrado estándar demostraron ineficaces contra estos ataques personalizados. Solo las herramientas de descifrado proporcionadas por TyMoshchuk u otros miembros de la Operación podrían restaurar datos comprometidos, poseer efectivamente los datos de las víctimas como rehén hasta que se cumplieran las demandas de rescate.
La intervención de la aplicación de la ley evitó muchos ataques
A pesar de la extensa orientación, muchos intentos de extorsión fracasaron porque la policía notificó a las víctimas que sus redes se habían comprometido antes de la implementación de ransomware. Esta intervención temprana evitó el cifrado de datos y las tasas limitadas de éxito del ataque. El fiscal general adjunto interino Matthew R. Galeotti señaló que «en algunos casos, estos ataques resultaron en la interrupción completa de las operaciones comerciales hasta que los datos encriptados pudieran recuperarse o restaurarse».
Rol de administrador de ransomware nefilim revelado
Desde julio de 2020 hasta octubre de 2021, Tymoshchuk supuestamente se desempeñó como uno de los administradores de cepas de ransomware Nefilim. En este papel, proporcionó acceso al ransomware a otros afiliados, incluido el coacusado Artem Stryzhak, quien fue extraditado de España. A cambio de proporcionar acceso al ransomware nefilim, Tymoshchuk y otros administradores recibieron el 20 por ciento de los ingresos de rescate de las víctimas, ilustrando la estructura jerárquica y los incentivos financieros que impulsan el esquema.
La cooperación internacional conduce a la liberación clave de descifrado
En septiembre de 2022, un esfuerzo internacional coordinado contra LockerGoga y ransomware de megacortex dio como resultado el lanzamiento de claves de descifrado a través del «proyecto de no más ransomware». Esta iniciativa permitió a las víctimas descifrar a las computadoras comprometidas sin pagar rescates. La versión clave de descifrado redujo significativamente la efectividad de estas cepas de ransomware y proporcionó alivio a numerosas víctimas que anteriormente fueron rehenes por los ataques cibernéticos.
Cómo informar los ataques de ransomware y la actividad sospechosa
Las organizaciones e individuos pueden informar ataques de ransomware o proporcionar información sobre estos cibercriminales:
- Póngase en contacto con el FBI directamente al +1-917-242-1407,
- Información por correo electrónico a tymotips@fbi.gov,
- Póngase en contacto con su oficina local de campo del FBI si está en los Estados Unidos,
- Visite la embajada de los Estados Unidos más cercana si está fuera de los Estados Unidos,
- Informe ataques de inmediato para ayudar a desmantelar las redes de ransomware.
Recompensa de $ 11 millones ofrecida por información de arresto
El programa de recompensas de crimen organizado del Departamento de Estado de los Estados Unidos ofrece hasta $ 11 millones por información que conduzca al arresto y condena o ubicación de Tymoshchuk. Este programa de recompensas incentiva a las personas con conocimiento de la operación de ransomware para brindar asistencia. TyMoshchuk enfrenta múltiples cargos, incluida la conspiración para cometer fraude, daños intencionales a las computadoras protegidas, el acceso no autorizado y la transmisión de amenazas para revelar información confidencial. El FBI continúa investigando este caso con la cooperación internacional de las autoridades en Francia, la República Checa, Alemania, Lituania, Luxemburgo, Países Bajos, Noruega, Suiza, Ucrania, Europol y Eurojust.
