Por Raquel Roberts
Tres profesionales de ciberseguridad deshonestos llevaron a cabo una operación encubierta de ransomware destinada a extorsionar a empresas en todo Estados Unidos cifrando sus redes, dijeron los fiscales.
Cada uno de ellos colaboró con la famosa banda de hackers ALPHV, también conocida como Blackcat, en un intento de extorsionar a sus dueños con millones de dólares en criptomonedas, alegaron los fiscales en una acusación presentada el mes pasado en un tribunal federal de Miami, Florida.
Los profesionales son todos estadounidenses, aunque sólo dos de ellos: Ryan Clifford Goldberg, residente de Watkinsville, Georgia, y Kevin Tyler Martin, de Roanoke, Texas, han sido nombrados.
Las empresas objetivo no han sido identificadas por las autoridades, que las describieron únicamente como empresas de diversas industrias con sede en California, Florida, Maryland y Virginia.
Martin se declaró inocente, mientras que Goldberg estuvo detenido antes del juicio, según muestran los registros judiciales, y sus abogados rechazaron las solicitudes de comentarios.
Los dos fueron identificados en descripciones en línea por proveedores de cursos, según Reuters: Goldberg como gerente de respuesta a incidentes en la firma de ciberseguridad Sygnia, y Martin como ex empleado de DigitalMint, que brinda servicios de respuesta a incidentes de cibercrimen y ransomware.
Despedido ‘inmediatamente’
DigitalMint, con sede en Chicago, dijo en un comunicado que un ex empleado había sido acusado de participar en operaciones de ransomware y agregó que estaba «actuando completamente fuera del alcance de su empleo».
Agregó que la compañía no tenía conocimiento de la supuesta actividad y dijo que el tercer cómplice anónimo, que según los documentos judiciales es residente de Land O’Lakes, Florida, «también pudo haber sido un empleado de la compañía».
DigitalMint «ha sido y sigue siendo un testigo cooperante en la investigación y no un objetivo de la investigación», dijo la compañía.
La multinacional Signia dijo que despidió a Goldberg «inmediatamente al enterarse de la situación», y agregó que la empresa no era el objetivo de la investigación y que estaba cooperando con la investigación.
Infraestructura crítica dirigida
Los ataques de ransomware se han vuelto cada vez más comunes en los últimos años y presentan serios desafíos para las empresas objetivo en prácticamente todos los sectores.
El software malicioso, diseñado para causar estragos en los sistemas internos, puede descargarse involuntariamente simplemente abriendo un archivo adjunto de correo electrónico o haciendo clic en un enlace.
Goldberg, Martin y el sospechoso anónimo están acusados de exigir 5 millones de dólares a un consultorio médico de California, apuntar a una compañía farmacéutica en Maryland, intentar extorsionar 1 millón de dólares a una empresa de ingeniería en California y exigir 300.000 dólares a un fabricante de drones con sede en Virginia.
Los tres coacusados están acusados de llevar a cabo la conspiración entre mayo de 2023 y abril de 2025, y el documento judicial indica que la mayoría de los ataques de ransomware que supuestamente cometieron los acusados utilizaron una estructura similar.
Los desarrolladores de Blackcat primero reclutaron y examinaron a un afiliado, que identificaría y atacaría a las víctimas utilizando el ransomware, según el expediente judicial.
Luego, los piratas informáticos supuestamente proporcionaron al afiliado el ransomware a través de un «panel» protegido con contraseña disponible en la web oscura, otorgándoles acceso a la red de la víctima para robar datos y cifrarlos, antes de dejar una nota de rescate.
Intento de derribo
El Departamento de Justicia de Estados Unidos y otras agencias han vinculado a Blackcat con más de 1.000 víctimas en todo el mundo y lo han descrito como uno de los grupos de ransomware más prolíficos antes de las operaciones de interrupción de las fuerzas del orden.
En una declaración de diciembre de 2023, el Departamento de Justicia dijo que durante los 18 meses anteriores, Blackcat se había convertido en “la segunda variante de ransomware como servicio más prolífica del mundo basándose en los cientos de millones de dólares en rescates pagados por las víctimas de todo el mundo”.
Se cree que Blackcat colaboró con la prolífica banda de hackers conocida como “Scattered Spider”, que se ha dirigido a importantes empresas como MGM Resorts International y Caesars Entertainment.
Debido a la escala global de los delitos de ciberseguridad, muchos de los cuales apuntaron a infraestructura crítica tanto en los Estados Unidos como en todo el mundo, múltiples agencias policiales extranjeras han estado involucradas en investigaciones paralelas.
En un intento de derribar a Blackcat, que se sabe que opera desde 2020, las fuerzas del orden internacionales lideradas por Estados Unidos confiscaron varios sitios web utilizados por el grupo, así como cientos de claves digitales utilizadas para descifrar los datos de las víctimas.
En febrero de 2024, el Departamento de Estado de EE. UU. ofrecía recompensas de hasta 10 millones de dólares por pistas que pudieran identificar o localizar a los líderes de las pandillas BlackCat tras el ataque de ransomware 2024 Change Healthcare que interrumpió el cumplimiento de recetas en farmacias de todo Estados Unidos durante seis días.
En marzo de 2024, medios como BleepingComputer informaron que un representante de Blackcat dijo en un foro de piratería que el grupo estaba cerrando. Algunos analistas consideraron esto como una clásica “estafa de salida”, en la que los piratas informáticos afirman ser eliminados antes de embolsarse el dinero de sus socios y comenzar de nuevo con un nuevo nombre.
Reuters contribuyó a este informe.
