La mayoría de los cibercriminales experimentados se esfuerzan por separar sus nombres reales de sus apodos de hacker. Pero entre ciertos hackers rusos de la vieja escuela no es raro encontrar actores importantes que han hecho poco para evitar que la gente descubra quiénes son en la vida real. Un caso de estudio de este fenómeno es “x999xx”, el apodo elegido por un venerado hacker ruso que se especializa en proporcionar el acceso inicial a la red a varios grupos de ransomware. x999xx es un conocido “corredor de acceso” que vende con frecuencia el acceso a redes corporativas pirateadas (normalmente en forma de credenciales de acceso remoto), así como bases de datos comprometidas que contienen grandes cantidades de datos personales y financieros. En un análisis publicado en febrero de 2019, la empresa de inteligencia cibernética Flashpoint calificó a x999xx como uno de los miembros más veteranos y prolíficos del foro de cibercrimen de primer nivel en idioma ruso Exploit, donde se podía ver a x999xx publicitando con frecuencia la venta de bases de datos y credenciales de red robadas. En agosto de 2023, x999xx vendió el acceso a una empresa que desarrolla software para el sector inmobiliario. En julio de 2023, x999xx anunció la venta de números de la Seguridad Social, nombres y cumpleaños de los ciudadanos de todo un estado de EE. UU. (sin nombrar en la subasta). Un mes antes, x999xx publicó un hilo de venta de 80 bases de datos extraídas de la empresa minorista más grande de Australia. «Puede utilizar estos datos para exigir un rescate o hacer algo diferente con ellos», escribió x999xx en Exploit. «Desafortunadamente, la falla se corrigió rápidamente. [+] Nadie ha utilizado los datos todavía [+] Los datos no han sido utilizados para enviar spam. [+] los datos están esperando su momento”. En octubre de 2022, x999xx vendió el acceso administrativo a un proveedor de atención médica estadounidense. ALIAS: MAXNM La cuenta más antigua con el nombre x999xx apareció en 2009 en el foro de ciberdelincuencia en idioma ruso Verified, bajo la dirección de correo electrónico maxnm@ozersk.com. Ozersk es una ciudad en la región de Chelyabinsk, en el centro-oeste de Rusia. Según el servicio de seguimiento de infracciones Constella Intelligence, la dirección maxnm@ozersk.com se utilizó hace más de una década para crear una cuenta en Vktontakte (la respuesta rusa a Facebook) con el nombre de Maxim Kirtsov de Ozersk. El perfil del Sr. Kirtsov, «maxnm», dice que su cumpleaños es el 5 de septiembre de 1991. Fotos personales que Maxnm compartió en Vktontakte en 2016. El título ha sido traducido automáticamente del ruso. El usuario x999xx se registró en la comunidad de cibercrimen en idioma ruso Zloy en 2014 usando la dirección de correo electrónico maxnmalias-1@yahoo.com. Constella afirma que esta dirección de correo electrónico fue utilizada en 2022 en el servicio de envío ruso cdek.ru por un tal Maksim Georgievich Kirtsov de Ozersk. Búsquedas adicionales de estos datos de contacto revelan que antes de 2009, x999xx favorecía el nombre de usuario Maxnm en los foros de cibercrimen rusos. La empresa de inteligencia cibernética Intel 471 encuentra al usuario Maxnm registrado en Zloy en 2006 desde una dirección de Internet en Chelyabinsk, usando la dirección de correo electrónico kirtsov@telecom.ozersk.ru. Esa misma dirección de correo electrónico se utilizó para crear cuentas de Maxnm en varios otros foros sobre delitos, incluidos Spamdot y Exploit en 2005 (también de Chelyabinsk) y Damagelab en 2006. Una búsqueda en Constella de la versión rusa del nombre completo de Kirtsov (Кирцов Максим Георгиевич) arroja múltiples cuentas registradas en maksya@icloud.com. Una revisión de la huella digital de maksya@icloud.com en osint.industries revela que esta dirección se utilizó hace una década para registrar una cuenta aún activa en imageshack.com con el nombre x999xx. Esa cuenta presenta numerosas capturas de pantalla de estados financieros de varios bancos, registros de chat con otros piratas informáticos e incluso sitios web pirateados. La cuenta Imageshack de x999xx incluye capturas de pantalla de saldos de cuentas bancarias de docenas de instituciones financieras, así como registros de chat con otros hackers y fotos de marihuana cultivada en casa. Algunas de las fotos de esa cuenta Imageshack también aparecen en la página de Vkontakte de Kirtsov, incluidas imágenes de vehículos que posee, así como fotos de plantas de marihuana en macetas. El perfil de Vkontakte de Kirtsov dice que en 2012 fue miembro de la facultad del Instituto Tecnológico de Ozersk de la Universidad Nacional de Investigación Nuclear. La página de Vkontakte enumera la ocupación de Kirtsov como un sitio web llamado ozersk.[.]Hoy, que a primera vista parece un blog sobre la vida en Ozersk, la empresa de seguridad Recorded Future publicó en 2019 una entrada en su blog en la que se descubrió que este dominio se estaba utilizando para alojar un servidor malicioso de Cobalt Strike. Cobalt Strike es una herramienta comercial de reconocimiento y pruebas de penetración de redes que se vende solo a socios aprobados. Pero las bandas de cibercriminales suelen abusar de las licencias robadas o mal habidas de Cobalt Strike para ayudar a sentar las bases para la instalación de ransomware en la red de una víctima. En agosto de 2023, x999xx publicó un mensaje en Exploit en el que decía que estaba interesado en comprar una versión con licencia de Cobalt Strike. Un mes antes, x999xx presentó una denuncia en Exploit contra otro miembro del foro llamado Cobaltforce, un aparente antiguo socio cuya repentina y prolongada desaparición de la comunidad dejó a x999xx y a otros en la estacada. Cobaltforce reclutó a personas con experiencia en el uso de Cobalt Strike para operaciones de ransomware y les ofreció monetizar el acceso a las redes pirateadas a cambio de una parte de las ganancias. DomainTools.com descubre a ozersk[.]Hoy se registró en la dirección de correo electrónico dashin2008@yahoo.com, que también se utilizó para registrar aproximadamente otras dos docenas de dominios, incluido x999xx.[.]biz. Prácticamente todos esos dominios estaban registrados a nombre de Maxim Kirtsov, de Ozersk. A continuación se muestra un mapa mental utilizado para rastrear las identidades mencionadas en esta historia. Una representación visual de los puntos de datos que conectan a x999xx con Max Kirtsov. x999xx es un miembro prolífico del foro ruso de webmasters “Gofuckbiz”, con más de 2000 publicaciones durante casi una década, según Intel 471. En una publicación de 2016, x999xx preguntó si alguien sabía dónde podía comprar una lámpara de calor que simulara la luz del sol, explicando que uno de sus conejos mascota había muerto recientemente por falta de luz y calor adecuados. La página de Vkontakte de Kirtsov incluye varias imágenes de conejos enjaulados de 2015 y antes. CONFIRMACIÓN Contactado por correo electrónico, Kirtsov reconoció que es x999xx. Kirtsov dijo que él y su equipo también son lectores habituales de KrebsOnSecurity. “Nos alegra escucharte y leerte”, respondió Kirtsov. Cuando se le preguntó si le preocupaban las implicaciones legales y morales de su trabajo, Kirtsov restó importancia a su papel en las intrusiones de ransomware y dijo que estaba más centrado en la recolección de datos. “Me considero tan comprometido con las prácticas éticas como tú”, escribió Kirtsov. “También me he embarcado en la investigación y actualmente soy mentor de estudiantes. Es posible que hayas notado mis actividades en un foro, que supongo que conoces a través de la información recopilada de fuentes públicas, posiblemente utilizando la nueva herramienta que revisaste”. “Con respecto a mis publicaciones sobre la venta de acceso, debo admitir honestamente que, al revisar mis propias acciones, recuerdo tales menciones, pero creo que nunca se actualizaron”, continuó. “Muchos usan el foro con fines egoístas, lo que explica por qué las listas de objetivos en venta han disminuido: simplemente dejaron de ser viables”. Kirtsov afirmó que no está interesado en dañar a las instituciones de atención médica, solo en robar sus datos. “En cuanto a los asuntos relacionados con la salud, una vez conocí a webmasters adinerados que pagaban hasta 50 dólares por cada 1000 correos electrónicos con temas de salud”, dijo Kirtsov. “Por lo tanto, no tenía ningún interés en los datos más sensibles de las instituciones médicas, como radiografías, números de seguros o incluso nombres; me centré únicamente en los correos electrónicos. Soy competente en SQL, de ahí mi facilidad para manejar datos como identificaciones y correos electrónicos. Y nunca hago spam ni nada por el estilo”. En los foros sobre delincuencia rusos, x999xx dijo que nunca ataca a nada ni a nadie en Rusia, y que tiene poco que temer de las agencias de aplicación de la ley nacionales siempre que se centre en los adversarios extranjeros. El enfoque indiferente de x999xx hacia la seguridad personal refleja el de Wazawaka, otro importante corredor de acceso ruso que vendió el acceso a innumerables organizaciones e incluso operó sus propios programas de afiliados de ransomware. “No cagues donde vives, viaja localmente y no vayas al extranjero”, dijo Wazawaka sobre su propio mantra personal. “Madre Rusia te ayudará. Ama a tu país y siempre te saldrás con la tuya en todo”. En enero de 2022, KrebsOnSecurity siguió las pistas dejadas por Wazawaka para identificarlo como Mikhail Matveev, de 32 años, de Khakassia, Rusia. En mayo de 2023, el Departamento de Justicia de Estados Unidos acusó a Matveev de ser una figura clave en varios grupos de ransomware que, en conjunto, extorsionaron cientos de millones de dólares a las organizaciones de víctimas. El Departamento de Estado de Estados Unidos ofrece una recompensa de 10 millones de dólares por información que conduzca a la captura y/o procesamiento de Matveev. Tal vez en reconocimiento de que muchos de los principales delincuentes de ransomware son en gran medida intocables mientras permanezcan en Rusia, las agencias de aplicación de la ley occidentales han comenzado a centrarse más en meterse en la cabeza de esas personas. Estas llamadas «operaciones psicológicas» tienen como objetivo infiltrarse en operaciones de ransomware como servicio, interrumpir los principales servicios de ciberdelincuencia y disminuir la confianza dentro de las comunidades de ciberdelincuentes. Cuando las autoridades de Estados Unidos y el Reino Unido anunciaron en febrero de 2024 que se habían infiltrado y confiscado la infraestructura utilizada por la infame banda de ransomware LockBit, tomaron prestado el diseño existente del sitio web de avergonzar a las víctimas de LockBit para vincularlo en su lugar a comunicados de prensa sobre el desmantelamiento, e incluyeron un temporizador de cuenta regresiva que finalmente fue reemplazado por los datos personales del supuesto líder de LockBit. En mayo de 2024, las fuerzas del orden de Estados Unidos y Europa anunciaron la Operación Endgame, una acción coordinada contra algunas de las plataformas de ciberdelincuencia más populares por distribuir ransomware y malware que roba datos. El sitio web de la Operación Endgame también incluía un temporizador de cuenta regresiva, que sirvió para anunciar el lanzamiento de varios videos animados que imitan el mismo tipo de anuncios breves y llamativos que los ciberdelincuentes establecidos suelen producir para promocionar sus servicios en línea.