Un hacker involucrado en el ataque de la cadena de suministro que atacó al proveedor de servicios de TI Kaseya en julio de 2021 ha afirmado que el gobierno ruso lo coaccionó. Yaroslav Vasinskyi, un ex afiliado del sindicato de ransomware Revil conocido como ‘Rabotnik’, cumple una sentencia de más de 13 años en la prisión federal de los Estados Unidos en la Institución Correccional Federal, Danbury (FCI Danbury), Connecticut. En una conversación de seis meses con Jon DiMaggio, estratega jefe de seguridad de Analyst1 y autor de la serie ‘Ransomware Diaries’, donde investiga el ecosistema de ransomware, Vasinskyi reveló que trató de dejar Revil varias veces por razones «morales», pero fue un chaqueta para preparar el ataque de Kaseya antes de irse. Vasinskyi afirmó que Revil tiene lazos con el gobierno ruso y que las personas que lo chantajeron para seguir realizando ataques cibernéticos probablemente eran de instituciones gubernamentales vinculadas a Kremlin. DiMaggio dio a conocer sus hallazgos durante una charla que dio junto con el jefe de inteligencia de amenazas de Trellix, John Fokker, en el evento Defcon 33 en Las Vegas el 9 de agosto. La versión escrita completa de su investigación se publicó en el Ransomware Diaries Volume 7 Informe el 9 de agosto. Revil Contritment, Moral Crisis e intento Vasinskyi comenzó a funcionar para Revil en 2019 en el primer año de 2019. como ‘Lalartu’ después de encontrar una vulnerabilidad en un servidor de Connectwise que estaba vinculado a alrededor de 1000 PC comprometidas con varias funciones de comando y control (C2). Operó en Polonia, con algunos viajes a Ucrania mientras trabajaba con Revil. Durante su correo electrónico y conversaciones telefónicas con DiMaggio, Vasinskyi afirmó que intentó abandonar Revil en marzo de 2020 por creer que la muerte del padre de esta novia y su abuela fueron sancionadas contra él por realizar actividades de delitos cibernéticos. Además, Vasinskyi le dijo a DiMaggio que «se inquietó» y sintió arrepentimientos morales después de presuntos revilos de ataques cibernéticos contra una iglesia bautista y un hospital, según los informes, este último llevó a que un paciente muriera. Después de preguntarle al Kingpin de Revil, un individuo que usaba el apodo Unkn, sobre esta supuesta muerte, se le dijo a Vasinskyi que, aunque no era una consecuencia prevista, terminó con «buena publicidad» para la pandilla de ransomware. Si bien una mayor investigación realizada por DiMaggio parecía indicar que Ryuk probablemente realizó el mortal ataca cibernético contra un hospital en lugar de Revil, «el despido informal de la muerte humana como una buena publicidad ‘disgustada Vasinskyi», escribió el investigador de seguridad. «Confirmó lo que ya temía, que la operación que una vez había racionalizado como transaccional se había convertido en algo más frío, más separado y más peligroso. Carolina, agotada y enojada, Vasinskyi se alejó de Revilio». Vigilancia y chantaje, sin embargo, Vasinskyi dijo que toda su vida estaba bajo vigilancia por alguna institución de alto nivel. Cuando viajó al aeropuerto Boryspil de Kiev en enero de 2021, fue detenido al control de pasaportes por aduana, buscó y expulsado del aeropuerto. Según Vasinskyi, estaba bajo la presión de alguien relacionado con la policía ucraniana que tenía influencia sobre él. Más tarde reveló que uno de estos contactos era un ex oficial de inteligencia poderoso y de alto rango. El chantaje, afirmó Vasinskyi, estaba políticamente motivado, no financiero. La influencia del manejador se extendió mucho más allá de Ucrania, insinuando vínculos de inteligencia internacionales profundos o una red de corrupción transfronteriza en expansión. «El peor miedo de Vasinskyi había sido confirmado. Sus ‘viejos amigos’ aprovecharon su alcance y poder para crear sus problemas legales en Kiev, y ahora los estaban usando para controlarlo», escribió DiMaggio. Lo que querían, dijo Vasinskyi, era que continuara trabajando con Revil. Si se negó, supuestamente amenazaron con asegurarse de que iría a la cárcel, sería torturado e incluso dañaría a su novia y familiares. De vuelta en Polonia, donde se basó Vasinskyi, la vigilancia continuó y sus «manejadores», mientras llamaba a la gente que lo presionaba, estaban a todas partes. Kaseya, un objetivo estratégico según Vasinskyi, sus «manejadores» eligieron a Kaseya como su próximo objetivo «específicamente para el acceso en cascada que proporcionó su software, viendo la oportunidad de infligir el máximo daño a través de las capacidades de distribución de software de la compañía a miles de clientes aguas abajo», escribió DiMaggio. Vasinskyi admitió a DiMaggio que había preparado por completo el ataque él mismo, desde el acceso inicial hasta probar la carga útil final. Sin embargo, no quería lanzarlo él mismo y entregó la fase de entrega de carga útil a Revil. También intentó varias formas de demostrar que no ejecutó el ataque él mismo, que incluye: enviar una carta al FBI antes del ataque usando el altavoz durante las conversaciones con el equipo de liderazgo Revil para que los investigadores potencialmente encogieranlo, pudieron escuchar las conversaciones que muestran su rostro a las cámaras de CCTV mientras dejaban a Polonia por Ucrania en el día en súplica Unkn, la persona detrás de la cual alguien estaba ejecutando Revil, desapareció después del ataque de Kaseya, que comprometió a más de 1500 empresas en 17 países y escuelas forzadas, farmacias y cadenas de supermercados enteros fuera de línea. Kaseya: la operación de tres niveles con manejadores a nivel estatal, mientras que el ataque de Kaseya se atribuyó a Revil y se exigió un rescate de $ 70 millones, la cuenta de Vasinskyi sugiere que el verdadero papel de la pandilla de ransomware era estrictamente como contratista técnico, no un comandante operacional. Según Vasinskyi en los informes de DiMaggio, Revil solo fue responsable de la compilación como un archivo .exe, nada más, nada menos. «Proporcionaron el arma, pero sus manejadores dieron la orden y apretaron el gatillo. Este testimonio presenta una estructura operativa de tres niveles, separando el papel de Revil como el proveedor de ransomware de Vasinskyi como el líder técnico encargado de preparar el ataque y un tercero, sus manejadores de nivel estatal, como el equipo de ejecución», explicó DiMaggio. «Se suponía que esto no debía ser sobre extorsión. Se trataba de interrupciones: sistemas paralizantes aguas abajo, recolectando inteligencia y obtener acceso a una infraestructura crítica», agregó el investigador. Además, Vasinskyi afirmó que si bien Revil tenía conexiones con las autoridades gubernamentales rusas, sus propios manejadores eran más poderosos, operando a un nivel que incluso el grupo de ransomware no podía alcanzar. Esto sugirió que sus problemas surgieron no solo de los lazos cibercriminales, sino de enredos con figuras de alto rango cuya influencia eclipsó incluso la de los asociados vinculados al gobierno de Revil. Una teoría sobre los foros de delitos cibernéticos rusos sugirió que UNKN podría haber sido Aleksandr Ermakov, un ex oficial de policía ruso arrestado en julio de 2021 poco después de que no se desvaneció. Sin embargo, Vasinskyi disputó esto, confirmando que Ermakov era parte de Revil, pero no el único asociado a Unkn. Él cree que dos personas controlaron la cuenta ONK: Ermakov, que tomó órdenes, y una que las dio. El verdadero líder, insistió Vasinskyi, seguía siendo «desconocido». Durante su charla de Defcon, DiMaggio de Analyst1 destacó que, mientras que los ciberdelincuentes tienden a mentir mucho, Vasinskiy parecía haber mentido sobre las cosas que el investigador lo probó. «En este punto, no tenía mucho que perder. Realmente no había una razón para que él me mentiera. Ha sido sentenciado a 13 años y siete meses de prisión, tiene $ 16 millones en restitución para pagar y no tiene posibilidades de libertad condicional», concluye DiMaggio. Créditos de la foto: Felix Mizioznikov / Mundissima / Shutterstock.com Lea más: Kaseya CISO sobre la preparación de manera efectiva para el próximo incidente cibernético