Ciberdelincuente ucraniano recibe cinco años de cárcel

Un tribunal de los Estados Unidos condenó ayer a un ciudadano ucraniano a cinco años de prisión por su papel en una ola de delitos cibernéticos globales que duró una década y que robó más de 20 millones de registros de tarjetas de clientes y generó más de $ 1 mil millones en ganancias.

Denys Iarnak, de 32 años, actuó como probador de penetración en nombre del nexo de delitos cibernéticos FIN7, que también se rastrea como Carbon Spider y Gold Niagara. El grupo con sede en Rusia se ha asociado últimamente con el uso de ransomware REvil y Darkside.

Fue arrestado en Tailandia en 2019 y posteriormente extraditado a los EE. UU. para ser juzgado, y en noviembre pasado se declaró culpable de un cargo de fraude electrónico y un cargo de conspiración para cometer piratería informática. Otros dos miembros del colectivo, que fueron detenidos en 2018, ya han sido encarcelados por delitos similares.

“Iarmak y sus conspiradores comprometieron millones de cuentas financieras, causando más de mil millones de dólares en pérdidas para los estadounidenses y costos para la economía de Estados Unidos”, dijo el fiscal general adjunto Kenneth Polite de la División Criminal del Departamento de Justicia.

“Proteger a las empresas, tanto grandes como pequeñas, en línea es una prioridad principal para el Departamento de Justicia. Estamos comprometidos a trabajar con nuestros socios internacionales para responsabilizar a estos ciberdelincuentes, sin importar dónde vivan o cuán anónimos crean que son”.

El fiscal estadounidense Nicholas Brown, del Distrito Oeste de Washington, que manejó la acusación, agregó: “Iarmak estuvo directamente involucrado en el diseño de correos electrónicos de phishing integrados con malware, entrometiéndose en las redes de las víctimas y extrayendo datos como la información de la tarjeta de pago.

“Para empeorar las cosas, continuó su trabajo con la empresa criminal FIN7 incluso después de los arrestos y enjuiciamientos de los cómplices. Él y otros miembros de este grupo de delitos cibernéticos utilizaron técnicas de piratería para robar esencialmente miles de ubicaciones de múltiples cadenas de restaurantes a la vez, desde la comodidad y seguridad de sus teclados en países distantes”.

El tribunal escuchó cómo FIN7 accedió a las redes de empresas en los EE. UU., el Reino Unido, Australia y Francia, robando registros de más de 6500 terminales de punto de venta en más de 3600 ubicaciones. Las víctimas conocidas en los EE. UU. incluyen cadenas de restaurantes como Chipotle y Panera, y los minoristas Saks Fifth Avenue y Lord & Taylor.

Por lo general, favorecía a las empresas del sector hotelero, a las que se dirigía con correos electrónicos de phishing personalizados, y luego realizaba llamadas telefónicas a sus víctimas previstas, lo que otorgaba legitimidad adicional a sus señuelos.

Una vez que se convenció a sus objetivos de abrir y ejecutar el archivo adjunto al correo electrónico, FIN7 usó una versión adaptada del malware Carbanak y otras herramientas para acceder y robar los datos de las tarjetas de pago de los clientes. Gran parte de estos datos aparecieron posteriormente a la venta en la dark web.

Tenga en cuenta que algunos investigadores han rastreado al grupo como Carbanak, pero dado que se sabe que otros grupos de delitos cibernéticos usan Carbanak, puede que no sea estrictamente exacto referirse a FIN7 con este nombre.

Iarmak se involucró con el grupo alrededor de noviembre de 2016 y trabajó para él durante un período de dos años. Se especializó en el uso del paquete de software de gestión de proyectos legítimo Jira, que FIN7 alojaba en varios servidores virtuales privados, para coordinar las actividades de la banda y gestionar sus intrusiones en la red.

Las autoridades creen que recibió una compensación sustancial por su trabajo para FIN7, cuyo valor supuestamente “superó con creces el empleo legítimo comparable en Ucrania”.

Todavía muy activo

A pesar de los arrestos y condenas de miembros clave de FIN7, el grupo permanece activo y continúa evolucionando en sus tácticas, técnicas y procedimientos.

A principios de abril, los investigadores de Mandiant, que han sido fundamentales en el seguimiento de FIN7, publicaron nueva inteligencia que detalla las últimas actividades del grupo.

Recientemente, se ha volcado con entusiasmo al compromiso de la cadena de suministro como un medio para obtener acceso a sus víctimas previstas; El año pasado, reveló Mandiant, FIN7 comprometió a un minorista en línea de productos digitales y modificó múltiples enlaces de descarga para dirigirlos a un cubo de Amazon S3 que albergaba versiones troyanizadas que contenían un instalador de agente que se utilizó para implementar una nueva puerta trasera llamada Powerplant.

Mandiant dijo que el marco de Powerplant permite una “amplia” amplitud de capacidades, dependiendo de qué módulos se entreguen desde el servidor de comando y control (C2), y por lo tanto es altamente peligroso.

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales