El Departamento de Justicia de EE. UU. este mes ofreció una recompensa de $ 5 millones por información que conduzca al arresto y condena de un hombre ruso acusado de presuntamente orquestar una vasta red internacional de ciberdelincuencia que se autodenominaba “corporación malvada” y robó aproximadamente $ 100 millones de empresas y consumidores. Da la casualidad de que, durante varios años, KrebsOnSecurity supervisó de cerca las comunicaciones y actividades diarias del acusado y sus cómplices. Lo que sigue es una mirada interna a las operaciones de fondo de esta pandilla.
Imagen: FBI
La recompensa de $ 5 millones se ofrece por 32 años Maksim V. Yakubetsa quien el gobierno dice que se apodaba “agua,» y «aquamo,» entre otros. Los federales alegan que Aqua lideró una red de cibercrimen de élite con al menos otras 16 personas que usaron cepas de malware avanzadas y personalizadas conocidas como “JabberZeus» y «Bugat” (también conocido como “Dridex“) para robar credenciales bancarias de empleados en cientos de pequeñas y medianas empresas en los Estados Unidos y Europa.
Desde 2009 hasta el presente, el papel principal de Aqua en la conspiración fue reclutar y administrar un suministro continuo de cómplices involuntarios o cómplices para ayudar a Evil Corp. a lavar el dinero robado a sus víctimas y transferir fondos a miembros de la conspiración con sede en Rusia, Ucrania y otros. partes de Europa del Este. Estos cómplices, conocidos como «mulas de dinero», generalmente son reclutados a través de solicitudes de trabajo desde casa enviadas por correo electrónico y a personas que han enviado sus currículos a sitios web de búsqueda de empleo.
Los reclutadores de mulas de dinero tienden a apuntar a personas que buscan empleo remoto a tiempo parcial, y los trabajos generalmente implican poco trabajo además de recibir y reenviar transferencias bancarias. Las personas que muerden estas ofertas a veces reciben pequeñas comisiones por cada transferencia exitosa, pero con la misma frecuencia terminan siendo estafados del día de pago prometido y/o recibiendo una visita o una carta amenazante de las agencias de aplicación de la ley que rastrean ese tipo de crimen (más sobre eso en un momento).
ENGANCHADO A UNA MULA
KrebsOnSecurity se encontró por primera vez con el trabajo de Aqua en 2008 como reportera de el poste de washington. Una fuente dijo que se habían topado con una forma de interceptar y leer los chats diarios en línea entre Aqua y varios otros reclutadores de mulas y proveedores de malware que estaban robando cientos de miles de dólares semanales de negocios pirateados.
La fuente también descubrió un patrón en la convención de nombres y la apariencia de varios sitios web de reclutamiento de mulas de dinero operados por Aqua. Se invitó a las personas que respondieron a los mensajes de reclutamiento a crear una cuenta en uno de estos sitios, ingresar datos personales y de la cuenta bancaria (se les dijo a las mulas que procesarían pagos para los «programadores» de su empleador con sede en Europa del Este) y luego iniciar sesión cada día. para comprobar si hay nuevos mensajes.
A cada mula se le asignó trabajo ocupado o tareas de baja categoría durante unos días o semanas antes de que se le pidiera que manejara las transferencias de dinero. Creo que esto fue un esfuerzo por eliminar las mulas de dinero poco confiables. Después de todo, aquellos que llegaban tarde al trabajo tendían a costarles mucho dinero a los ladrones, ya que el banco de la víctima generalmente intentaba revertir cualquier transferencia que las mulas no hubieran retirado.
Uno de varios sitios creados por Aqua y otros para reclutar y administrar mulas de dinero.
Cuando llegaba el momento de transferir los fondos robados, los reclutadores enviaban un mensaje a través del sitio de mulas diciendo algo como: “Buenos días [mule name here]. Nuestro cliente, XYZ Corp., le envía algo de dinero hoy. Visite su banco ahora y retire este pago en efectivo, y luego transfiera los fondos en pagos iguales, menos su comisión, a estas tres personas en Europa del Este”.
Solo que, en todos los casos, la empresa mencionada como el «cliente» era de hecho una pequeña empresa cuyas cuentas de nómina ya habían pirateado.
Aquí es donde se puso interesante. Cada uno de estos sitios de reclutamiento de mulas tenía la misma debilidad de seguridad: cualquiera podía registrarse y, después de iniciar sesión, cualquier usuario podía ver los mensajes enviados a y desde todos los demás usuarios simplemente cambiando un número en la barra de direcciones del navegador. Como resultado, fue trivial automatizar la recuperación de los mensajes enviados a cada mula de dinero registrada en docenas de estos sitios falsos de la empresa.
Entonces, todos los días durante varios años, mi rutina matutina fue la siguiente: hacer una taza de café; vaya a la computadora y vea los mensajes que Aqua y sus co-conspiradores habían enviado a sus mulas de dinero durante las 12-24 horas anteriores; busque los nombres de las empresas víctimas en Google; levante el teléfono para advertir a cada uno que estaban en proceso de ser asaltados por la mafia cibernética rusa.
Mi discurso sobre todas estas llamadas fue más o menos el mismo: “Probablemente no tengas idea de quién soy, pero aquí está toda mi información de contacto y lo que hago. Tus cuentas de nómina han sido pirateadas y estás a punto de perder una gran cantidad de dinero. Debe ponerse en contacto con su banco de inmediato y pedirles que suspendan cualquier transferencia pendiente antes de que sea demasiado tarde. No dude en volver a llamarme más tarde si desea obtener más información sobre cómo sé todo esto, pero por ahora solo llame o visite su banco».
Mensajes hacia y desde una mula de dinero que trabaja para la tripulación de Aqua, alrededor de mayo de 2011.
En muchos casos, mi llamada llegaba minutos u horas antes de que el banco de la empresa víctima procesara un lote de nómina no autorizado, y algunas de esas notificaciones evitaron lo que de otro modo habría sido una pérdida enorme, a menudo varias veces superior a la cantidad semanal normal de la organización. nómina de sueldos. En algún momento dejé de contar cuántas decenas de miles de dólares esas llamadas salvaron a las víctimas, pero durante varios años probablemente fueron millones.
Con la misma frecuencia, la empresa de la víctima sospechaba que yo estaba involucrado de alguna manera en el robo, y poco después de alertarlos recibía una llamada de un agente del FBI o de un oficial de policía en la ciudad natal de la víctima. Esas siempre fueron conversaciones interesantes. No hace falta decir que las víctimas que hicieron girar sus ruedas persiguiéndome generalmente sufrieron pérdidas financieras mucho más sustanciales (principalmente porque retrasaron la llamada a su institución financiera hasta que fue demasiado tarde).
Colectivamente, estas notificaciones a las víctimas de Evil Corp. generaron docenas de historias durante varios años sobre pequeñas empresas que luchan contra sus instituciones financieras para recuperar sus pérdidas. Creo que nunca escribí sobre una sola víctima que no estuviera de acuerdo con que llamara la atención sobre su situación y la sofisticación de la amenaza que enfrentan otras empresas.
AMIGOS BAJOS EN LUGARES ALTOS
Según el Departamento de Justicia de EE. UU., Yakubets/Aqua se desempeñó como líder de Evil Corp. y fue responsable de administrar y supervisar las actividades de ciberdelincuencia del grupo al implementar y usar el malware bancario Jabberzeus y Dridex. El Departamento de Justicia señala que antes de ocupar este cargo de liderazgo en Evil Corp, Yakubets también estuvo directamente asociado con Evgeniy «Slavik» Bogachev, un ciberdelincuente ruso previamente designado responsable de la distribución de los esquemas de malware Zeus, Jabber Zeus y GameOver Zeus que actualmente tiene una recompensa del FBI de 3 millones de dólares por su cabeza.
Evgeniy M. Bogachev, en fotos sin fecha.
Como se señaló en historias anteriores aquí, durante los tiempos de conflicto con los vecinos de Rusia, se sabía que Slavik modificaba sus máquinas criminales para buscar información clasificada sobre los sistemas de las víctimas en regiones del mundo que eran de interés estratégico para el gobierno ruso, particularmente en Turquía y Ucrania.
“Los ciberdelincuentes son reclutados para la causa nacional de Rusia a través de una combinación de coerción, pagos y apelaciones al sentimiento patriótico”, se lee. una historia de 2017 de El registro en empresa de seguridad Cibertemporada‘s análisis de la escena rusa del cibercrimen. “El uso de contratistas privados por parte de Rusia también tiene otros beneficios para ayudar a disminuir los costos operativos generales, mitigar el riesgo de detección y obtener experiencia técnica que no pueden contratar directamente en el gobierno. La combinación de una milicia cibernética con equipos de piratería oficiales patrocinados por el estado ha creado la comunidad de ciberdelincuentes técnicamente más avanzada y audaz del mundo”.
Esto es interesante porque el Departamento del Tesoro de EE. UU. dice que Yukabets a partir de 2017 estaba trabajando para el FSB rusouna de las principales organizaciones de inteligencia de Rusia.
“En abril de 2018, Yakubets estaba en proceso de obtener una licencia para trabajar con información clasificada rusa del FSB”, señala una declaración de Hacienda.
El papel del Departamento del Tesoro en esta acción es clave porque significa que Estados Unidos ahora ha impuesto sanciones económicas a Yukabets y 16 asociados acusados, congelando efectivamente todos los bienes e intereses de estas personas (sujeto a la jurisdicción de los EE. UU.) y tipificando como delito realizar transacciones con estas personas.
del Departamento de Justicia denuncia penal contra Yukabets (PDF) menciona varias comunicaciones de chat interceptadas entre Aqua y sus supuestos asociados en las que se preguntan por qué KrebsOnSecurity parecía saber tanto sobre sus operaciones internas y sus víctimas. En las siguientes conversaciones de chat (traducidas del ruso), Aqua y otros discuten una historia que escribí para el poste de washington en 2009 sobre el robo de cientos de miles de dólares de las cuentas de nómina del condado de Bullitt, Kentucky:
tanque: [Are you] ¿allá?
indepe: si.
indepe: Saludos.
tanque: http://voices.washingtonpost.com/securityfix/2009/07/an_odyssey_of_fraud_part_ii.html#more
tanque: Esto todavía se trata de mí.
tanque: Originador: BULLITT COUNTY FISCAL Company: Bullitt County Fiscal Court
depósito: Es la cuenta desde la que cobramos.
tank: Hoy alguien mas mande esta noticia.
tanque: Estoy leyendo y pensando: Déjame echar un vistazo a la historia. Por alguna razón este nombre es familiar.
tanque: Estoy en línea y miraré. Ah, aquí está esta mierda.
indepe: como estas?
tanque: ¿Recibiste mis anuncios?
indep: pues te felicito [you].
indep: Esto es joder cuando escriben sobre ti en las noticias.
tanque: de quien [What]?
tanque: 😀
indep: No se necesita demasiada publicidad.
tanque: Bueno, entonces nadie sabe de quién están hablando.
tanque: Bueno, sin embargo, estaban escribiendo sobre nosotros.
aqua: Entonces, ¿por quién bloquearon Western Union para Ucrania?
aqua: Mierda dura.
tanque: ************* Autor: CONDADO DE BULLITT FISCAL Compañía: Bullitt
Tribunal Fiscal del Condado
agua: entonces?
aqua: Este es el sistema judicial.
tanque: mierda
tanque: si
aqua: Por eso jodieron [nailed?] varias gotas.
tanque: Sí, de hecho.
aqua: Bueno, joder. Hackers: Es cierto que robaron mucho dinero.
Aproximadamente al mismo tiempo, uno de los miembros del equipo de Aqua conversó con Slavik, quien usaba el apodo de «lucky12345» en ese momento:
tanque: ¿estás ahí?
tanque: Esto es lo que escribieron malditamente sobre mí.
tanque: http://voices.washingtonpost.com/securityfix/2009/07/an_odyssey_of_fraud_part_ii.html#more
tanque: Voy a echar un vistazo rápido a la historia
tanque: Originador: BULLITT COUNTY FISCAL Company: Bullitt County Fiscal Court
tanque: Bueno, tienes [it] de ese cobro.
lucky12345: ¿Desde 200K?
tank: Bueno, no son los montos correctos y el retiro de esa cuenta fue una mierda.
tanque: Levak fue escrito allí.
tanque: Porque ahora todo EE.UU. sabe acerca de Zeus.
tanque: 😀
lucky12345: Está jodido.
El 13 de diciembre de 2009, uno de los reclutadores de mulas de dinero de la pandilla Jabberzeus, un ladrón que usaba el seudónimo de «Jim Rogers», de alguna manera se enteró de algo que no había compartido más allá de algunos amigos de confianza en ese momento: que The Washington Post había eliminado mi trabajo en el proceso de fusionar el sitio web del periódico (donde trabajaba en ese momento) con la edición del árbol muerto. El siguiente es un intercambio entre Jim Rogers y el «tanque» citado anteriormente:
jim_rogers: Hay un rumor de que nuestro favorito (Brian) no obtuvo su extensión de contrato en el Washington Post. Estamos vertiginosamente esperando la confirmación 🙂 ¡Buenas noticias esperadas exactamente para el Año Nuevo! Aparte de nosotros nadie lee su columna 🙂
tanque: ¡Mr. Maldito Brian Malditos Bordillos!
En marzo de 2010, Aqua divulgaría en un chat encriptado que su equipo estaba trabajando directamente con el autor de Zeus (Slavik/Lucky12345), pero que lo encontraban abrasivo y difícil de tolerar:
dimka: Leí sobre el rey de los mares, ¿fue tu trabajo práctico?
agua: de que hablas? muéstrame
dimka: zeus
agua: 🙂
aqua: sí, lo estamos usando ahora mismo
aqua: su desarrollador se sienta con nosotros en el sistema
dimka: es algo popular
aqua: pero, él, hijo de puta, molestó muchísimo a todos, no quiere escribir eludir los interactivos (escaneos) y la penetración de troyanos 35-40%, perra
aqua: si, mierda
aqua: necesitamos algo mejor
aqua: http://voices.washingtonpost.com/securityfix léelo 🙂 aquí encuentras casi todo sobre nosotros 🙂
dimka: Creo que todo será un poco diferente, si así lo crees.
aqua: nosotros, en este sistema, el perro grande, el resto del sistema está haciendo tonterías pequeñas
Más tarde ese mes, Aqua lamentó aún más la publicidad sobre su trabajo, señalando una historia de KrebsOnSecurity sobre un ataque sofisticado en el que su malware no solo interceptó una contraseña de un solo uso necesaria para iniciar sesión en la cuenta bancaria de la víctima, sino que incluso modificó la propia del banco. Sitio web como se muestra en el navegador de la víctima para apuntar a un número de atención al cliente falso.
Irónicamente, el número de teléfono del banco falso fue lo que avisó al empleado de la empresa víctima. En este caso, el banco de la víctima, Fifth Third Bank (conocido como «53» en el chat a continuación) pudo recuperar el dinero robado por las mulas de dinero de Aqua, pero no los fondos que se tomaron a través de transferencias bancarias internacionales fraudulentas. Los ciberdelincuentes en este chat también se quejan de que necesitarán una nueva versión ofuscada de su malware debido a la exposición pública:
aqua: mañana, todo debería funcionar.
aqua: carajo, necesitamos encontrar más calcetines para spam.
aqua: esta bien, entonces mañana Petro [another conspirator who went by the nickname Petr0vich] nos dará un [new] .exe
jtk: está bien
jim_rogers: este no funciona
jim_rogers: http://www.krebsonsecurity.com/2010/03/crooks-crank-up-volume-of-e-banking-attacks/
jim_rogers: aquí está escrito sobre mi transferencia de 53. Cómo hice una serie de transferencias como decía allí. Y una mujer quemó el trato por un número de teléfono falso.
INICIATIVA ANTIMULAS
Junto con las acusaciones contra Evil Corp, el Departamento de Justicia se unió a funcionarios de Europol ejecutar una acción de aplicación de la ley y una campaña de concientización pública para combatir la actividad de las mulas de dinero.
“Más del 90% de las transacciones de mulas de dinero identificadas a través de las Acciones europeas de mulas de dinero están vinculadas a la ciberdelincuencia”, escribió Europol en una declaración sobre la acción «El dinero ilegal a menudo proviene de actividades delictivas como phishing, ataques de malware, fraude de subastas en línea, fraude de comercio electrónico, compromiso de correo electrónico comercial (BEC) y fraude de CEO, estafas románticas, fraude de vacaciones (fraude de reserva) y muchos otros».
el Departamento de Justicia dicho Las fuerzas del orden de EE. UU. interrumpieron las redes de mulas que se extendían desde Hawái hasta Florida y desde Alaska hasta Maine. Se tomaron medidas para detener la conducta de más de 600 mulas de dinero nacional, incluidas 30 personas que fueron acusadas penalmente por su papel en la recepción de pagos de las víctimas y la entrega de las ganancias del fraude a los cómplices.
Algunos consejos de Europol sobre cómo detectar estafas de contratación de mulas de dinero disfrazadas de ofertas de trabajo legítimas.
Es bueno ver más educación pública sobre el daño que infligen las mulas de dinero, porque sin ellas, la mayoría de estos esquemas criminales simplemente se desmoronan. Además de ayudar a lavar los fondos de las víctimas de troyanos bancarios, las mulas de dinero a menudo son fundamentales para desplumar a las personas mayores engañadas por varias estafas de confianza en línea.
También es fantástico ver que el gobierno de los EE. UU. finalmente esgrime su arma más poderosa contra los ciberdelincuentes con sede en Rusia y otros refugios seguros para este tipo de actividades: sanciones económicas que restringen severamente el acceso de los ciberdelincuentes a ganancias ilícitas y la capacidad de lavar el producto de sus delitos. mediante la inversión en activos en el extranjero.
Otras lecturas:
Comentarios de la conferencia de prensa del DOJ sobre Yakubets
Cargos del FBI anunciados en conspiración de malware
Acusación de 2019 de Yakubets, Turashev. et al.
2010 Denuncia penal contra Yukabets, et. Alabama.
Alerta de «buscado» del FBI sobre Igor «Enki» Turashev
Alerta US-CERT sobre Dridex
Relacionado:
Una nueva amenaza puede bloquear automáticamente los dispositivos Apple – Krebs on Security
