Desarrollador ruso del programa malicioso TrickBot, condenado a 64 meses de cárcel

Vladimir Dunaev, de nacionalidad rusa, ha sido condenado a cinco años y cuatro meses de prisión por su participación en la creación y distribución del malware Trickbot, utilizado en ataques contra hospitales, empresas y particulares de todo el mundo.

Según los documentos judiciales, este hombre de 40 años (también conocido como FFX) supervisó el desarrollo del componente de inyección en el navegador del malware.

En septiembre de 2021, Dunaev fue detenido cuando intentaba salir de Corea del Sur tras haber estado varado allí más de un año debido a las restricciones de viaje impuestas por COVID-19 y a la caducidad de su pasaporte. El procedimiento de extradición a Estados Unidos concluyó el 20 de octubre de 2021.

Tras su detención, se declaró culpable de conspiración para cometer fraude informático y usurpación de identidad, así como de conspiración para cometer fraude electrónico y bancario, y se enfrenta a una pena máxima de 35 años de prisión por ambos delitos.

En la acusación original se acusaba a Dunaev y a ocho coacusados de participar en el desarrollo, despliegue y administración del programa malicioso Trickbot y de obtener beneficios económicos de él.

«Dunaev desarrolló un ransomware malicioso y lo desplegó para atacar hospitales, escuelas y empresas estadounidenses en el Distrito Norte de Ohio y en todo el país, mientras se escondía detrás de su ordenador», dijo Rebecca C. Lutzko, Fiscal de los Estados Unidos.

«Él y sus coacusados causaron inconmensurables trastornos y daños financieros, infectando maliciosamente millones de ordenadores en todo el mundo, y Dunaev pasará ahora más de cinco años entre rejas».

Detenciones y sanciones relacionadas con TrickBot

Dunaev comenzó a trabajar para el sindicato de malware TrickBot en junio de 2016 como desarrollador tras un proceso de reclutamiento que le exigía crear una aplicación de servidor SOCKS y modificar el navegador Firefox para la distribución de malware.

El malware TrickBot que ayudó a desarrollar permitía a los ciberdelincuentes recopilar información confidencial de las víctimas infectadas (como credenciales de inicio de sesión, información de tarjetas de crédito, correos electrónicos, contraseñas, números de la seguridad social y direcciones) y desviar fondos de las cuentas bancarias de las víctimas

Dunaev es el segundo diseñador del malware TrickBot procesado por el Departamento de Justicia estadounidense, tras la detención en febrero de 2021 de la letona Alla Witte (alias Max), acusada de ayudar a desarrollar el módulo diseñado para desplegar ransomware en redes comprometidas.

En febrero y septiembre, Estados Unidos y Reino Unido sancionaron a 18 rusos vinculados a los grupos cibercriminales TrickBot y Conti por su implicación en la extorsión de al menos 180 millones de dólares, y advirtieron de que algunos miembros del grupo Trickbot también estaban asociados a los servicios de inteligencia rusos.

Evolución de TrickBot y vínculos con Conti

Inicialmente centrado en el robo de credenciales bancarias cuando apareció por primera vez en 2015, TrickBot mutó rápidamente en una herramienta modular utilizada por organizaciones cibercriminales (incluidas las operaciones de ransomware Ryuk y Conti) para obtener acceso inicial a redes corporativas.

A pesar de varios intentos de desmantelarlo, el grupo de ciberdelincuentes Conti se hizo con el control del malware y lo utilizó para desarrollar otras variantes de malware más complejas y sigilosas, como Anchor y BazarBackdoor.

Sin embargo, tras la invasión rusa de Ucrania, un investigador ucraniano filtró en Internet comunicaciones internas de Conti, revelando sus vínculos con la operación TrickBot.

A continuación, una entidad anónima (TrickLeaks) filtró más información sobre la banda TrickBot, arrojando aún más luz sobre sus vínculos con Conti.

Estas revelaciones acabaron acelerando el cierre de Conti, que se fragmentó en otros grupos de ransomware ahora identificados como Royal, Black Basta y ZEON.