Arrestos vinculados a Citadel, Dridex Malware – Krebs on Security

Las autoridades en Europa arrestaron a presuntos actores clave detrás del desarrollo y despliegue de malware bancario sofisticado, que incluye Ciudadela y Dridex. Los arrestos involucraron a un ciudadano ruso y un hombre moldavo, quienes viajaban o residían fuera de sus países de origen y ahora enfrentan la extradición a los Estados Unidos.

esposadoLa semana pasada, un moldavo de 30 años buscado por las autoridades estadounidenses fue arrestado en Paphos, un lugar de vacaciones en la costa de Chipre donde, según los informes, el acusado se alojaba con su esposa. A historia en el Correo de Chipre tiene pocos otros detalles sobre el arresto, además de decir que las autoridades creen que el hombre fue responsable de más de $ 3.5 millones en fraude bancario usando una PC.

Fuentes cercanas a la investigación dicen que el hombre es una figura clave en una banda del crimen organizado responsable de desarrollar y utilizar un poderoso troyano bancario conocido como “Dridex” (también conocido como Cridex, Bugat). Se cree que la pandilla Dridex se separó de la “club de negocios”, una banda organizada de ciberdelincuencia de Europa del Este acusada de robar más de 100 millones de dólares de bancos y empresas de todo el mundo.

En junio de 2014, el Departamento de Justicia de EE. UU. se unió a varias agencias internacionales de aplicación de la ley y firmas de seguridad para acabar con el activo clave del Business Club: la botnet Gameover ZeuS, una máquina criminal global ultrasofisticada que infectó a más de medio millón de PC y fue utilizado en innumerables robos cibernéticos. Dridex surgiría por primera vez en julio de 2014, un mes después de que se desmantelara la botnet Gameover Zeus.

Por separado, la prensa en Noruega escribe sobre un hombre ruso de 27 años identificado solo como “Mark” que, según los informes, fue arrestado en la ciudad noruega de Fredrikstad a pedido del FBI. La historia señala que las autoridades estadounidenses creen que Mark es el desarrollador de software detrás de Citadel, un producto de malware como servicio que desempeñó un papel clave en innumerables robos cibernéticos contra pequeñas empresas estadounidenses y europeas.

Por ejemplo, se pensaba que Citadel era el mismo malware utilizado para robar nombres de usuario y contraseñas de un proveedor de calefacción y aire acondicionado de Pensilvania; Según los informes, esas mismas credenciales robadas se aprovecharon en la violación que resultó en el robo de casi 40 millones de tarjetas de crédito de corporación objetivo en noviembre y diciembre de 2013.

El diario noruego VG escribe que Mark ha estado bajo arresto domiciliario durante los últimos 11 meses, mientras el FBI intenta resolver su extradición a los Estados Unidos. Su detención está siendo combatida por Rusia, que naturalmente se opone al trato que pueda recibir en Estados Unidos y dice que las pruebas contra Mark son escasas.

Según VG, el Departamento de Justicia de EE. UU. cree que Mark no es otro que «Aquabox», el apodo elegido por el propietario del malware Citadel, que se creó a partir del código fuente del malware troyano ZeuS. Citadel se vendió y comercializó como un servicio que permitía a los compradores y usuarios interactuar con el desarrollador y entre ellos, para solicitar comentarios sobre cómo corregir errores en el programa de malware y solicitar nuevas funciones en el futuro.

Para obtener una traducción completa del argumento de venta original de Citadel escrito por Aquabox en 2011, consulte este enlace (PDF). Para obtener una versión traducida completa de la historia de VG sobre Mark, consulte este PDF (gracias al lector de KrebsOnSecurity) Jeevan Sivagnanasuntharam por ayudar con la traducción). VG señala que Mark continúa manteniendo su inocencia. [Side note: The Citadel malware has for years had in its code a dig directed at the author of this blog: Included in the guts of the Trojan is the text string, “Coded by BRIAN KREBS for personal use only. I love my job & wife.” Needless to say, the second part of that statement is true, but Citadel was not coded by this Brian Krebs.]

Una cadena de texto dentro del troyano Citadel.  Fuente: AhnLab

Una cadena de texto dentro del troyano Citadel. Fuente: AhnLab

Ars Technica lleva una pieza interesante acerca de Denis Calovskis, un hombre letón que fue arrestado en febrero y extraditado a los Estados Unidos por su papel en la creación del virus Gozi, otra poderosa familia de malware que se ha utilizado en innumerables robos cibernéticos. Calovskis, de 30 años, mantuvo durante mucho tiempo su inocencia, pero finalmente reconoció su papel en una declaración de culpabilidad presentada en un tribunal federal en Manhattan la semana pasada.

En agosto de 2013, Calovskis negó estar asociado con Gozi y le dijo a un canal de noticias de televisión letón que era “como un rehén en esta situación. No sé sobre el virus Gozi. No he ayudado a ningún intrigante a obtener dinero y no he recibido ninguno”, dijo a los periodistas. De acuerdo a ReutersCalovskis cambió su tono la semana pasada.

“Sabía que lo que estaba haciendo iba contra la ley”, dijo al tribunal.

Finalmente, las autoridades finlandesas tienen detenido a un hombre ruso llamado maximo senakh quien está acusado de cometer delitos de malware en los Estados Unidos. agencia de noticias rusa RT dice el Ministerio de Asuntos Exteriores ruso ha denunciado la detención de Senakh como una “práctica ilegal” y una “cacería de brujas”. Según los informes, fue detenido el 8 de agosto de 2015.

Las diversas historias de los medios en la prensa europea sobre el arresto de Senakh dicen que es buscado por delitos cibernéticos presuntamente cometidos contra una víctima en Minnesota, pero más allá de eso, hay pocos detalles sobre el motivo de su arresto. Las autoridades estadounidenses actualmente buscan su extradición a los Estados Unidos.

Deja un comentario