Um cidadão russo vai se declarar culpado por atuar como inicial access broker (IAB) nas campanhas do ransomware Yanluowang, que afetaram pelo menos oito empresas dos Estados Unidos entre julho de 2021 e novembro de 2022.
Segundo o acordo de confissão assinado em 29 de outubro — descoberto por Seamus Hughes, editor do Court Watch — Aleksey Olegovich Volkov, conhecido pelos aliases "chubaka.kor" e "nets", invadiu redes corporativas e vendeu o acesso ao grupo de ransomware Yanluowang.
O grupo, então, implantava o malware para criptografar os dados das vítimas e exigia resgates que variavam entre US$ 300 mil e US$ 15 milhões, pagos em Bitcoin.
Agentes do FBI obtiveram mandados de busca para um servidor ligado à operação, recuperando registros de chat, dados roubados, credenciais das redes comprometidas e evidências de contas de e-mail usadas pelo Yanluowang nas negociações de resgate.
A identidade de Volkov foi rastreada por meio de dados do Apple iCloud relacionados à conta [email protected], registros de exchanges de criptomoedas e perfis em redes sociais, incluindo uma conta no Twitter associada ao e-mail [email protected] — todos vinculados ao seu número de telefone e passaporte russo.
Os logs de chat mostraram Volkov negociando com um coautor conhecido como "CC-1", chegando a um acordo para receber uma porcentagem dos pagamentos em troca das credenciais das vítimas.
Após esses ataques, ele teria recebido parte dos US$ 1,5 milhão obtidos em resgates.
Durante a análise dos dados na conta Apple de Volkov, os investigadores encontraram uma captura de tela de uma conversa entre ele e um usuário chamado LockBit, sugerindo um possível vínculo com o famoso grupo de ransomware LockBit, conforme descrito no documento assinado pelo agente especial do FBI Jeffrey Hunter.
Volkov está diretamente ligado a invasões em empresas localizadas na Filadélfia, em uma firma de engenharia com 19 escritórios nos EUA, além de empresas na Califórnia, Michigan, Illinois, Geórgia, Ohio e no Distrito Leste da Pensilvânia.
Duas das vítimas pagaram juntas US$ 1,5 milhão em resgates.
Análises na blockchain confirmaram que partes desses valores foram enviadas para endereços de Bitcoin fornecidos por Volkov a "CC-1" nas conversas, incluindo pagamentos de US$ 94.259 e US$ 162.220 vinculados a dois ataques do Yanluowang.
Volkov enfrenta pena máxima de 53 anos de prisão por diversas acusações, incluindo transferência ilegal de meios de identificação, tráfico de informações de acesso, fraude em dispositivos de acesso, furto de identidade agravado, conspiração para cometer fraude computacional e conspiração para lavagem de dinheiro.
Além disso, ele terá que pagar mais de US$ 9,1 milhões (valor exato de US$ 9.167.198,19) em restituição às vítimas das invasões do Yanluowang.
A operação Yanluowang foi identificada pela primeira vez em outubro de 2021 e está associada a ataques altamente direcionados a empresas em todo o mundo.
Volkov foi preso na Itália em janeiro de 2024, extraditado para os EUA no mesmo ano e formalmente acusado após o grupo roubar arquivos não sensíveis da conta Box de um funcionário da Cisco, em maio de 2022 — ataque que, porém, não conseguiu criptografar os sistemas nem extorquir resgate.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...