El Departamento de Justicia de EEUU (DOJ) acaba de anunciar que ha acusado a una mujer letona de 55 años, que se hacía llamar Max, de delitos de desarrollo de malware.
Max, cuyo nombre real es aparentemente Alla Witte, es la sexta de los siete acusados que figuran en la acusación del Departamento de Justicia, junto con otras diez personas desconocidas identificadas solo como CC8 a CC17 (CC es la abreviatura de co-conspirador).
Por el momento, los nombres de los otros seis acusados se han eliminado del documento, por lo que Witte es el único nombre se ha hecho público.
(En la acusación, presentada en agosto de 2020, Witte fue identificada como una “ciudadana de Rusia”, pero el titular del último comunicado de prensa del Departamento de Justicia la describe como letona).
Witte aparentemente vivía en Surinam en América del Sur en el momento de los presuntos delitos, pero fue arrestada en Miami, Florida, en febrero de 2021, presumiblemente mientras intentaba ingresar a los EEUU.
La acusación, que tiene 61 páginas a doble espacio, cuenta una historia fascinante de cómo Trickbot Group, como el DOJ se refiere a esta banda de ciberdelincuentes, operó y evolucionó durante un período de cinco años desde finales de 2015 hasta mediados de 2020.
También se documenta en la acusación una larga lista de intentos de robo financiero de los llamados “testigos cooperantes”: once compañías estadounidenses se han presentado para ayudar a establecer la naturaleza y el alcance de la criminalidad intentada por Trickbot Group.
Las transacciones fraudulentas intentadas contra esas 11 empresas suman 6,2 millones de dólares, pero el DOJ dice que el malware Trickbot ha infectado millones de ordenadores en todo el mundo de la manera más amplia posible, afectando a individuos, empresas y organizaciones, incluidos hospitales, escuelas, servicios públicos y gobiernos.
Troyano, zombi y gusano
Trickbot es probablemente más conocido por ser lo que se llama un troyano bancario, un malware que espía deliberadamente en tu ordenador mientras realizas transacciones financieras para robar tu información personal y aprovecharse de tu cuenta.
Pero Trickbot, como su nombre indica, también actuó como un bot, o zombie, un malware que llama regularmente a los servidores operados por los delincuentes para obtener instrucciones sobre qué hacer a continuación.
Trickbot también buscaría otros ordenadores para infectar tu red, actuando como lo que se conoce como virus o gusano, con el fin de aumentar su presencia y mejorar su rendimiento.
Como probablemente sepas, casi todos los bots o zombies incluyen una función mediante la cual pueden instalar y activar malware adicional, y el Grupo Trickbot aprovechó en particular esta “función” en su propio código al usar infecciones Trickbot existentes no solo para perseguir tu cuentas bancarias, sino también para lanzar ataques de ransomware en tu red.
Como explica la acusación, el Grupo Trickbot está acusado de conspirar para:
- Infectar los ordenadores de las víctimas con el malware Trickbot diseñado para capturar las credenciales de inicio de sesión de la banca en línea de las víctimas.
- Obtener y recopilar otra información de identificación personal, incluidas tarjetas de crédito, correos electrónicos, contraseñas, fechas de nacimiento, números de seguro social y direcciones.
- Infectar otros ordenadores conectados en red con el ordenador de la víctima inicial.
- Utilizar las credenciales de inicio de sesión capturadas para obtener acceso no autorizado de manera fraudulenta a las cuentas en línea de las víctimas en las instituciones financieras.
- Robar fondos de las cuentas bancarias de las víctimas y lavar esos fondos utilizando cuentas bancarias de beneficiarios estadounidenses y extranjeros proporcionadas y controladas por conspiradores.
- Infectar los ordenadores de las víctimas con ransomware.
La última de estas actividades, ejecutar una operación de ransomware utilizando ordenadores Trickbot zombificados para inyectar e iniciar el ataque, es donde se dice que Witte estuvo involucrada.
Según la acusación, parece que se unió al Grupo Trickbot hace relativamente poco tiempo, a partir de finales de 2018.
Entre otras cosas, se alega que Witte “proporcionó código al Trickbot Group para operar e implementar el módulo de ransomware Trickbot”.
También se dice que “proporcionó un código […] para un panel web utilizado para acceder a los datos de las víctimas almacenados en una base de datos”, donde otros miembros del grupo Trickbot podían buscar zombis actualmente activos en la botnet Trickbot y acceder a datos como detalles de las tarjetas de crédito ya robados a víctimas infectadas.
¿Qué hacer?
- Si eres un programador contratado, no sientas la tentación de realizar trabajos de codificación de los que no estés seguro. Podrías terminar siendo absorbido por un mundo en el que no deberías, y probablemente no quieras, estar. (La acusación detalla cómo los co-conspiradores de Trickbot discutieron la reformulación de sus “anuncios de trabajo” para que suenen menos delictivos para que sus publicaciones no sean prohibidas).
- Si estás buscando trabajar desde casa, nunca entregues tu CV ni completes solicitudes de empleo para empresas de cuya procedencia legal no estés absolutamente seguro. Bandas como Trickbot Group confían en la contratación de “asistentes”, conocidos despectivamente como mulas del dinero, que están dispuestos a procesar fondos a través de sus cuentas personales sin hacer demasiadas preguntas sobre el origen del dinero. Si haces esto y te atrapan, es posible que termines en la cárcel.
- Considera un antivirus que incluya filtrado de red y prevención de exploits, así como bloqueo tradicional de malware. El malware como Trickbot utiliza una variedad de técnicas para operar, que incluyen realizar solicitudes web salientes regulares en busca de nuevas instrucciones, interferir activamente con software como tu navegador para robar datos e intentar copiarse a sí mismo a través de tu red. El software de seguridad que ofrece lo que se conoce como defensa en profundidad puede protegerte contra todos y cada uno de estas técnicas, brindándote múltiples formas de encontrar y bloquear ciberamenazas.