El gobierno federal acusa a 16 rusos presuntamente vinculados a botnets utilizados en ransomware, ciberataques y espionaje.

El ecosistema hacker en Rusia, quizás más que en cualquier otro lugar del mundo, ha difuminado desde hace tiempo las fronteras entre ciberdelincuencia, ciberguerra patrocinada por el Estado y espionaje. Ahora, la acusación contra un grupo de ciudadanos rusos y el desmantelamiento de su extensa botnet ofrecen el ejemplo más claro en años de cómo una sola operación de malware supuestamente permitió operaciones de piratería informática tan diversas como ransomware, ciberataques en tiempos de guerra en Ucrania y espionaje contra gobiernos extranjeros.

El Departamento de Justicia de los Estados Unidos anunció hoy cargos penales contra 16 personas que las autoridades policiales han vinculado a una operación de malware conocida como DanaBot, que según una denuncia infectó al menos 300.000 máquinas en todo el mundo. El anuncio de los cargos por parte del Departamento de Justicia describe al grupo como "con sede en Rusia" y nombra a dos de los sospechosos, Aleksandr Stepanov y Artem Aleksandrovich Kalinkin, residentes en Novosibirsk, Rusia. Otros cinco sospechosos son nombrados en la acusación, mientras que otros nueve son identificados solo por sus seudónimos. Además de esos cargos, el Departamento de Justicia dice que el Servicio de Investigación Criminal de Defensa (DCIS), una rama de investigación criminal del Departamento de Defensa, llevó a cabo incautaciones de la infraestructura de DanaBot en todo el mundo, incluido Estados Unidos.

Además de alegar cómo DanaBot se utilizó en actividades de piratería informática con fines de lucro, la acusación también incluye una afirmación menos frecuente: describe cómo una segunda variante del malware, según afirma, se utilizó para espionaje contra objetivos militares, gubernamentales y de ONG. «El malware generalizado como DanaBot perjudica a cientos de miles de víctimas en todo el mundo, incluyendo entidades militares, diplomáticas y gubernamentales sensibles, y causa pérdidas millonarias», escribió el fiscal estadounidense Bill Essayli en un comunicado.

Desde 2018, DanaBot, descrito en la denuncia penal como un "malware increíblemente invasivo", ha infectado millones de ordenadores en todo el mundo. Inicialmente, fue un troyano bancario diseñado para robar directamente a los propietarios de dichos ordenadores, con funciones modulares diseñadas para el robo de tarjetas de crédito y criptomonedas. Sin embargo, debido a que sus creadores supuestamente lo vendieron en un modelo de "afiliación" que lo puso a disposición de otros grupos de hackers por entre 3.000 y 4.000 dólares al mes, pronto se utilizó como herramienta para instalar diferentes tipos de malware en una amplia gama de operaciones, incluyendo ransomware. Sus objetivos también se propagaron rápidamente desde sus víctimas iniciales en Ucrania, Polonia, Italia, Alemania, Austria y Australia hasta instituciones financieras estadounidenses y canadienses, según un análisis de la operación realizado por la firma de ciberseguridad Crowdstrike .

En 2021, según Crowdstrike, Danabot se utilizó en un ataque a la cadena de suministro de software que ocultó el malware en una herramienta de programación de JavaScript llamada NPM, con millones de descargas semanales. Crowdstrike encontró víctimas de esta herramienta comprometida en los sectores de servicios financieros, transporte, tecnología y medios de comunicación.

Esa escala y la amplia variedad de sus usos delictivos hicieron de DanaBot "un gigante del panorama del delito electrónico", según Selena Larson, investigadora de amenazas de la empresa de ciberseguridad Proofpoint.

Sin embargo, lo más singular es que DanaBot también se ha utilizado en ocasiones para campañas de hacking que parecen estar patrocinadas por el Estado o vinculadas a intereses de agencias gubernamentales rusas. En 2019 y 2020, se utilizó para atacar a varios funcionarios de gobiernos occidentales en aparentes operaciones de espionaje, según la acusación del Departamento de Justicia. Según Proofpoint , en esos casos, el malware se distribuyó en mensajes de phishing que suplantaban la identidad de la Organización para la Seguridad y la Cooperación en Europa y una entidad gubernamental de Kazajistán.

Luego, en las primeras semanas de la invasión a gran escala de Ucrania por parte de Rusia, que comenzó en febrero de 2022, DanaBot se utilizó para instalar una herramienta distribuida de denegación de servicio (DDoS) en máquinas infectadas y lanzar ataques contra el servidor de correo web del Ministerio de Defensa de Ucrania y el Consejo de Seguridad Nacional y Defensa de Ucrania.

Todo esto convierte a DanaBot en un ejemplo particularmente claro de cómo el malware cibercriminal ha sido presuntamente adoptado por hackers estatales rusos, afirma Larson, de Proofpoint. «Históricamente, se ha sugerido mucho que operadores cibercriminales se codean con entidades gubernamentales rusas, pero no se ha informado públicamente sobre estas líneas cada vez más difusas», afirma Larson. El caso de DanaBot, añade, «es bastante notable, ya que constituye una prueba pública de esta superposición donde vemos herramientas de cibercrimen utilizadas con fines de espionaje».

En la denuncia penal, el investigador del DCIS, Elliott Peterson —exagente del FBI conocido por su trabajo en la investigación de los creadores de la botnet Mirai— , alega que algunos miembros de la operación DanaBot fueron identificados tras infectar sus propios ordenadores con el malware. Según Peterson, estas infecciones podrían haber tenido como objetivo probar el troyano o haber sido accidentales. En cualquier caso, permitieron que información identificativa sobre los presuntos hackers llegara a la infraestructura de DanaBot, que el DCIS posteriormente incautó. «Las infecciones involuntarias a menudo provocaban el robo de datos sensibles y comprometedores del ordenador del atacante por parte del malware, que se almacenaban en los servidores de DanaBot, incluyendo datos que ayudaron a identificar a los miembros de la organización DanaBot», escribe Peterson.

Los operadores de DanaBot siguen en libertad, pero el desmantelamiento de una herramienta a gran escala relacionada con tantas formas de piratería de origen ruso (tanto patrocinadas por estados como criminales) representa un hito significativo, dice Adam Meyers, quien lidera la investigación de inteligencia de amenazas en Crowdstrike.

“Cada vez que se interrumpe una operación plurianual, se afecta su capacidad de monetizarla. Además, se crea un vacío, y alguien más tomará el relevo”, dice Meyers. “Pero cuanto más podamos interrumpirlos, más los mantendremos a la defensiva. Debemos repetir el proceso y buscar el siguiente objetivo”.