Tiene muchos nombres, según el Departamento de Justicia de EE.UU.
Mikhail Pavlovich Matveev, o simplemente Matveev, como se le llama repetidamente en su acusación, así como Wazawaka, m1x, Boriselcin y Uhodiransomwar.
Por este último alias, puedes adivinar por qué se le busca.
En palabras del pliego de cargos: conspirar para transmitir peticiones de rescate, conspirar para dañar ordenadores protegidos y dañar intencionadamente ordenadores protegidos.
En pocas palabras, se le acusa de llevar a cabo o facilitar ataques de ransomware, especialmente utilizando tres tipos de malware diferentes conocidos como LockBit, Hive y Babuk.
Babuk es noticia estos días, porque su código fuente se publicó en 2021 y pronto llegó a Github, donde todavía puedes descargarlo.
Por lo tanto, Babuk sirve como una especie de manual de instrucciones que enseña (o simplemente permite, para aquellos que no sientan la necesidad de entender los procesos criptográficos implicados) a los posibles ciberdelincuentes, cómo manejar la parte de “nosotros podemos desencriptar esto, pero tú no, así que páganos el dinero del chantaje o nunca volverás a ver tus datos” de un ataque de ransomware.
De hecho, el código fuente de Babuk incluye opciones para herramientas maliciosas de descifrado de archivos dirigidas a dispositivos de almacenamiento en red (NAS) basados en Windows, VMWare ESXi y Linux.
Tres ataques específicos como prueba
La acusación de EE.UU. acusa explícitamente a Matveev de dos ataques de ransomware en el Estado de Nueva Jersey y uno en el Distrito de Columbia (la capital federal de EE.UU.).
Los supuestos ataques consistieron en el malware LockBit desatado contra las fuerzas del orden en el condado de Passaic, Nueva Jersey, el malware Hive utilizado contra una organización sanitaria en el condado de Mercer, Nueva Jersey y un ataque Babuk contra el Departamento de Policía Metropolitana de Washington, DC.
Según el DOJ, Matveev y sus compañeros conspiradores:
Utilizaron presuntamente estos tipos de ransomware para atacar a miles de víctimas en Estados Unidos y en todo el mundo. Entre estas víctimas se incluyen fuerzas de seguridad y otras agencias gubernamentales, hospitales y escuelas. Las peticiones totales de rescate supuestamente realizadas por los miembros de estas tres campañas mundiales de ransomware a sus víctimas ascienden a 400 millones de dólares, mientras que los pagos totales de rescate de las víctimas ascienden a 200 millones de dólares.
Con tanto en juego, quizá no sorprenda que el comunicado de prensa del DOJ concluya informando de que:
El Departamento de Estado [de EEUU] también ha anunciado una recompensa de hasta 10 millones de dólares por información que conduzca a la detención y/o condena de este acusado. La información que pueda optar a este premio puede enviarse a tips.fbi.gov o RewardsForJustice.net.
Curiosamente, Matveev también ha sido declarado individuo “designado”, lo que significa que está sujeto a las sanciones de EE.UU. y, por tanto, presumiblemente también que las empresas de EE.UU. no pueden enviarle dinero, lo que suponemos que prohíbe a los estadounidenses pagar cualquier petición de chantaje de ransomware que pueda hacer.
Por supuesto, dado que el ecosistema delictivo del ransomware funciona actualmente en gran medida con un modelo basado en servicios o franquicias, parece poco probable que el propio Matveev pidiera o recibiera directamente el dinero de la extorsión, por lo que no está claro qué efecto tendrá esta sanción en los pagos de ransomware, si es que tiene alguno.
¿Qué hacer?
Si sufres la desgracia de que tus archivos sean descifrados y te pidan un rescate, ten en cuenta las conclusiones del Informe de Sophos sobre el estado del ransomware 2023, en el que las víctimas de ransomware revelaron que el coste medio de la recuperación mediante copias de seguridad fue de 375.000 dólares, mientras que el coste medio de pagar a los delincuentes y confiar en sus herramientas de descifrado fue de 750.000 dólares. (Las medias fueron de 1,6 y 2,6 millones de dólares respectivamente).
Como dijimos en el Informe sobre el ransomware:
Se miren como se miren los datos, es considerablemente más barato utilizar copias de seguridad para recuperarse de un ataque de ransomware que pagar el rescate. […] Si se necesitan más pruebas del beneficio económico de invertir en una sólida estrategia de copias de seguridad, son estos.
En otras palabras, con sanciones o sin ellas, pagar a los criminales del ransomware no es el final de tus gastos cuando necesitas recuperarte a toda prisa, porque tienes que añadir el coste de utilizar realmente esas herramientas de descifrado al dinero del chantaje que pagaste en primer lugar.