Hacker extraditado a Estados Unidos podría ser condenado a 60 años de prisión
Un ciudadano ruso que se cree que es miembro del equipo de desarrollo del malware TrickBot fue extraditado a los Estados Unidos. Y, actualmente enfrenta cargos que podrían condenarlo a 60 años de prisión.
Vladimir Dunaev, de 38 años, también conocido como FFX, era un desarrollador de malware. Según la acusación, él supervisó la creación del módulo de inyección de navegador de TrickBot.
Es el segundo desarrollador de malware asociado con la banda TrickBot que el Departamento de Justicia arrestó este año. En febrero, la ciudadana letona Alla Witte, también conocida como Max, fue arrestada por escribir código relacionado con el control y despliegue de ransomware.
Antiguo miembro de la banda
Dunaev fue arrestado en Corea del Sur en septiembre cuando intentaba salir del país. Se vio obligado a quedarse allí durante más de un año debido a las restricciones de viaje por el Covid-19 y su pasaporte expiró. La extradición se completó el 20 de octubre.
Se cree que Dunaev ha estado involucrado con la banda TrickBot desde mediados de 2016 luego de una prueba de reclutamiento que involucró la creación de una aplicación que simulaba un servidor SOCKS y la alteración de una copia del navegador Firefox.
Pasó ambas pruebas con gran éxito, mostrando las habilidades que necesitaba la banda TrickBot. “Es capaz de todo. Se necesita una persona así”, se lee en una conversación entre dos miembros de la banda encargada de reclutar desarrolladores.
Acciones del acusado
A partir de junio de 2016, el acusado creó, modificó y actualizó el código para la banda de malware TrickBot, según la acusación.
| Fechas | Descripción del código |
| Julio de 2016 – hasta el momento del arresto | Modificar el navegador web Firefox |
| Diciembre de 2016 – hasta el momento del arresto | Consulta de máquina que permite a TrickBot determinar la descripción, el fabricante, el nombre, el producto, el número de serie, la versión y el contenido del directorio de archivos raíz de una máquina infectada. |
| Agosto de 2016 – diciembre de 2018 | Código que captura y guarda del navegador web el nombre, ID, tipo, archivos de configuración, cookies, historial, almacenamiento local, etc. |
| Octubre de 2016 – hasta el momento del arresto | Código que busca, importa y carga archivos en las carpetas de ‘perfil’ del navegador web; estos contienen cookies, almacenamiento, historial, etc. También se conecta a las bases de datos del navegador para realizar consultas y modificarlas |
| Julio de 2016 – hasta el momento del arresto | Una aplicación/utilidad ejecutable para iniciar y administrar un navegador web |
| Julio de 2016 – hasta el momento del arresto | Código que recopila y modifica las entradas de datos en la base de datos de Google Chrome LevelDB, incluido el historial de navegación |
Entre el 19 de octubre de 2017 y el 3 de marzo de 2018, los miembros de la banda TrickBot que incluía a Dunaev y Witte transfirieron con éxito más de $1.3 millones de las cuentas bancarias de las víctimas.
Grupo grande y bien organizado
Según la acusación, TrickBot tiene al menos 17 miembros, cada uno con atributos específicos dentro de la operación:
- Director: Describe las necesidades de programación, administra las finanzas, implementa TrickBot
- Desarrollador de malware: desarrolla módulos de TrickBot y se los entrega a otros para que los cifren.
- Cifrador: cifra los módulos de TrickBot para que eviten la detección del antivirus
- Spammer: encargado de distribuir TrickBot a través de campañas de spam y phishing.
Creado a partir de las cenizas del troyano bancario Dyre en 2015, TrickBot se centró en robar las credenciales bancarias inicialmente, a través de la inyección web y el registro de las pulsaciones de teclas del usuario víctima.
Más tarde, se convirtió en un malware modular que también podría distribuir otras amenazas. En estos días, la banda tiene preferencia por desplegar ransomware en las redes de la empresa, Conti en particular.
Se cree que TrickBot ha infectado millones de computadoras. Esto les permite a sus operadores robar información personal, confidencial y robar fondos de las cuentas bancarias de las víctimas.
El malware ha afectado a empresas de Estados Unidos, Reino Unido, Australia, Bélgica, Canadá, Alemania, India, Italia, México, España y Rusia.
Además de Dunaev y Witta, el Departamento de Justicia ha acusado a otros miembros de TrickBot cuyos nombres no han sido revelados.
Dunaev se enfrenta actualmente a varios cargos de robo de identidad agravado, fraude electrónico, fraude bancario, blanqueo de capitales, entre otros.
Todos los cargos en su contra pueden desencadenar una pena máxima de 60 años en prisión.
