Las autoridades de Australia, el Reino Unido y los Estados Unidos impusieron esta semana sanciones financieras contra un hombre ruso acusado de robar datos de casi 10 millones de clientes del gigante australiano de seguros médicos. Medibank. 33 años Alexander Ermakov supuestamente robó y filtró los datos de Medibank mientras trabajaba con uno de los grupos de ransomware más destructivos de Rusia, pero se comparte poco más sobre el acusado. He aquí un vistazo más de cerca a las actividades de los supuestos hackers del Sr. Ermakov.
Aleksandr Ermakov, 33 años, de Rusia. Imagen: Departamento de Asuntos Exteriores y Comercio de Australia.
Las acusaciones contra Ermakov marcan la primera vez que Australia sanciona a un ciberdelincuente. Los documentos publicados por el gobierno australiano incluían varias fotografías del Sr. Ermakov y estaba claro que querían enviar un mensaje de que se trataba de algo personal.
No es difícil ver por qué. Los atacantes que irrumpieron en Medibank en octubre de 2022 robaron 9,7 millones de registros de clientes actuales y anteriores de Medibank. Cuando la empresa se negó a pagar una demanda de rescate de 10 millones de dólares, los piratas informáticos filtraron selectivamente registros médicos muy confidenciales, incluidos aquellos relacionados con abortos, VIH y abuso de alcohol.
El gobierno de Estados Unidos dice que se cree que Ermakov y los demás actores detrás del hackeo de Medibank están vinculados con la banda de ciberdelincuentes respaldada por Rusia. REVOLVER.
“REvil estuvo entre las bandas de ciberdelincuentes más notorias del mundo hasta julio de 2021, cuando desaparecieron. REvil es una operación de ransomware como servicio (RaaS) y generalmente está motivada por ganancias financieras”, un comunicado de la Departamento del Tesoro de EE. UU. lee. “El ransomware REvil se ha implementado en aproximadamente 175.000 computadoras en todo el mundo, y se ha pagado al menos 200 millones de dólares en rescate”.
Las sanciones dicen que Ermakov utilizó múltiples alias en los foros rusos sobre delitos cibernéticos, incluido GustaveDoré, JimJonesy Blade Runner. Una búsqueda del identificador GustaveDore en la plataforma de ciberinteligencia Intel 471 muestra que este usuario creó un programa de afiliados de ransomware en noviembre de 2021 llamado Azúcar (también conocido como Encoded01), que se centró en computadoras individuales y usuarios finales en lugar de corporaciones.
Un anuncio del programa de ransomware como servicio Sugar publicado por GustaveDore advierte a los lectores que no compartan información con investigadores de seguridad, autoridades policiales o “amigos de Krebs”.
En noviembre de 2020, los analistas de Intel 471 concluyeron que el alias de GustaveDore, JimJones, “estaba usando y operando varias cepas de ransomware diferentes, incluida una cepa privada no revelada y una desarrollada por la banda REvil”.
En 2020, GustaveDore anunció en varios foros de discusión rusos que formaba parte de una empresa de tecnología rusa llamada Shtazi, a la que se podía contratar para programación informática, desarrollo web y “gestión de la reputación”. El sitio web de Shtazi sigue funcionando hoy.
Una versión traducida por Google de Shtazi dot ru. Imagen: Archive.org.
El tercer resultado cuando se busca shtazi[.]ru en Google es un Instagram publicación de un usuario llamado Mijaíl Borísovich Shefelque promociona los servicios de Shtazi como si también fueran su negocio. Si este nombre le suena familiar, es porque en diciembre de 2023 KrebsOnSecurity identificó al Sr. Shefel como “Rescator”, la identidad cibercriminal vinculada a decenas de millones de tarjetas de pago que fueron robadas en 2013 y 2014 de los grandes minoristas Target y Home Depot, entre otros. .
¿Qué tan estrecha era la conexión entre Gustave Dore y el Sr. Shefel? La página de sanciones del Departamento del Tesoro dice que Ermakov utilizó la dirección de correo electrónico ae.ermak@yandex.ru. Una búsqueda de este correo electrónico en DomainTools.com muestra que se utilizó para registrar solo un nombre de dominio: millones1[.]com. DomainTools descubre además que se utilizó un número de teléfono vinculado al Sr. Shefel (79856696666) para registrar dos dominios: millones[.]pwy shtazi[.]neto.
La historia de diciembre de 2023 aquí que reveló al Sr. Shefel como Rescator señaló que Shefel cambió recientemente su apellido a “Lenin” y había lanzado un servicio llamado Lenin[.]negocio que vende billetes físicos de rublos de la era de la URSS con la imagen de Vladimir Lenin, el padre fundador de la Unión Soviética. La cuenta de Instagram del Sr. Shefel incluye imágenes de billetes de rublos apilados de la era de la URSS, así como múltiples enlaces a Shtazi.
Mikhail Borisovich Shefel es la mejor cuenta de Instagram del mundo.
La investigación de Intel 471 reveló que Ermakov estaba afiliado de alguna manera con REvil porque los datos robados de Medibank se publicaron en un blog que alguna vez había sido controlado por afiliados de REvil que llevaron a cabo ataques y pagaron una tarifa de afiliado a la pandilla.
Pero en el momento del hackeo de Medibank, el grupo REvil se había dispersado en su mayor parte después de que una serie de ataques de alto perfil llevaron al grupo a ser interrumpido por las fuerzas del orden. En noviembre de 2021, Europol anunció que arrestó a siete afiliados de REvil que en conjunto hicieron demandas de rescate por valor de más de 230 millones de dólares desde 2019. Al mismo tiempo, las autoridades estadounidenses revelaron dos acusaciones contra un par de ciberdelincuentes acusados de REvil.
“Sin embargo, la publicación de los datos de Medibank en ese blog indicó una conexión con ese grupo, aunque la conexión no estaba clara en ese momento”, escribió Intel 471. “Esto tiene sentido en retrospectiva, ya que el grupo de Ermakov también había sido afiliado de REvil”.
Es fácil descartar sanciones como estas calificándolas de ineficaces, porque mientras Ermakov permanezca en Rusia tiene poco que temer de ser arrestado. Sin embargo, su supuesto papel como aparente miembro principal de REvil lo señala como alguien que probablemente posee grandes sumas de criptomonedas, dijo. patricio grisel coanfitrión australiano y fundador del podcast de noticias de seguridad Negocio riesgoso.
“He visto a algunas personas despreciar las sanciones… pero el componente de las sanciones es en realidad menos importante que el componente de doxing”, dijo Gray. “Porque la vida de este tipo se volvió mucho más complicada. Probablemente tendrá que pagar algunos sobornos para no meterse en problemas. Cada criminal en Rusia ahora sabe que es un joven vulnerable de 33 años con una tonelada absoluta de bitcoins. Así que este no es un momento feliz para él”.
