¿Quién es el presunto hacker de Medibank Aleksandr Ermakov?

Las autoridades de Australia, el Reino Unido y los Estados Unidos impusieron esta semana sanciones financieras contra un hombre ruso acusado de robar datos de casi 10 millones de clientes del gigante australiano de seguros de salud Banco Médico. 33 años de edad Aleksandr Ermakov supuestamente robó y filtró los datos de Medibank mientras trabajaba con uno de los grupos de ransomware más destructivos de Rusia, pero se comparte poco más sobre el acusado. Aquí hay un vistazo más de cerca a las actividades de los supuestos manejadores de hackers del Sr. Ermakov.

Aleksandr Ermakov, de 33 años, de Rusia. Imagen: Departamento de Relaciones Exteriores y Comercio de Australia.

Las acusaciones contra Ermakov marcan la primera vez que Australia sanciona a un ciberdelincuente. Los documentos publicados por el gobierno australiano incluían varias fotos del Sr. Ermakov, y estaba claro que querían enviar un mensaje de que esto era personal.

No es difícil ver por qué. Los atacantes que irrumpieron en Medibank en octubre de 2022 robaron 9,7 millones de registros de clientes actuales y anteriores de Medibank. Cuando la compañía se negó a pagar una demanda de rescate de 10 millones de dólares, los piratas informáticos filtraron selectivamente registros de salud altamente confidenciales, incluidos los relacionados con abortos, VIH y abuso de alcohol.

El gobierno de Estados Unidos dice que se cree que Ermakov y los otros actores detrás del hackeo de Medibank están vinculados a la pandilla de cibercrimen respaldada por Rusia REvil.

"REvil estaba entre las pandillas de delitos cibernéticos más notorias del mundo hasta julio de 2021, cuando desaparecieron . REvil es una operación de ransomware como servicio (RaaS) y generalmente está motivada por ganancias financieras, " a declaración desde el Departamento del Tesoro de los EE. UU. lee. "El ransomware REvil se ha implementado en aproximadamente 175.000 computadoras en todo el mundo, y se han pagado al menos 200 millones de dólares en rescates.”

Las sanciones dicen que Ermakov usó múltiples alias en los foros rusos sobre delitos cibernéticos, que incluyen GustaveDore, JimJones, y Blade Runner. Una búsqueda en el mango GustaveDore en la plataforma de inteligencia cibernética Procesador Intel 471 espectáculos este usuario creó un programa de afiliados de ransomware en noviembre de 2021 llamado Azúcar (también conocido como Encoded01), que se centró en dirigirse a computadoras individuales y usuarios finales en lugar de corporaciones.

Un anuncio del programa de ransomware como servicio Sugar publicado por GustaveDore.

En noviembre de 2020, los analistas de Intel 471 concluyeron que el alias de GustaveDore, JimJones, "estaba usando y operando varias cepas de ransomware diferentes, incluida una cepa privada no revelada y una desarrollada por la pandilla REvil.”

En 2020, GustaveDore anunció en varios foros de discusión rusos que formaba parte de una empresa de tecnología rusa llamada Shtazi, que podría contratarse para programación de computadoras, desarrollo web y " gestión de la reputación."El sitio web de Shtazi permanece en funcionamiento hoy.

Una versión traducida por Google de Shtazi dot ru. Imagen: Archive.org.

El tercer resultado actualmente cuando uno busca shtazi[.] ru en Google es un Instagram publicación de un usuario nombrado Mikhail Borisovich Shefel, que promociona los servicios de Shtazi como si también fuera su negocio. Si este nombre le suena familiar, es porque en diciembre de 2023 KrebsOnSecurity identificó al Sr. Shefel como "Rescatador", la identidad del ciberdelincuente está vinculada a decenas de millones de tarjetas de pago robadas en 2013 y 2014 de grandes minoristas Objetivo y Depósito en Casa, entre otros.

¿Qué tan estrecha era la conexión entre GustaveDore y el Sr. Shefel? La página de sanciones del Departamento del Tesoro dice que Ermakov usó la dirección de correo electrónico ae.ermak@yandex.ru. Una búsqueda de este correo electrónico en DomainTools.com muestra que se usó para registrar solo un nombre de dominio: millioner1[.] com. DomainTools descubre además que se usó un número de teléfono vinculado al Sr. Shefel (79856696666) para registrar dos dominios: millonario[.] pw, y shtazi[.] neto.

La historia de diciembre de 2023 aquí que reveló al Sr. Shefel como Rescatador señaló que Shefel recientemente cambió su apellido a "Lenin, "y había lanzado un servicio llamado Lenin[.] yo que vendí billetes físicos en rublos de la era de la URSS que llevan la imagen de Vladimir Lenin, el padre fundador de la Unión Soviética . La cuenta de Instagram del Sr. Shefel incluye imágenes de billetes de Rublo apilados de la era de la URSS, así como múltiples enlaces a Shtazi.

La cuenta de Instagram de Mikhail Borisovich Shefel, también conocido como MikeMike, también conocido como Rescator.

En un informe publicado esta semana, Intel 471 dijo que los investigadores conectaron a Ermakov con REvil porque los datos robados de Medibank se publicaron en un blog que una vez estuvo controlado por afiliados de REvil que llevaron a cabo ataques y pagaron una tarifa de afiliado a la pandilla.

Pero en el momento del hackeo de Medibank, el grupo REvil se había dispersado en su mayoría después de que una serie de ataques de alto perfil llevaran al grupo a ser interrumpido por la policía. En noviembre de 2021, Europol anunciado arrestó a siete afiliados de REvil que colectivamente exigieron más de rans 230 millones en rescates desde 2019. Al mismo tiempo, las autoridades estadounidenses desvelan dos acusaciones contra un par de ciberdelincuentes acusados de REvil.

"Sin embargo, la publicación de los datos de Medibank en ese blog indicó una conexión con ese grupo, aunque la conexión no estaba clara en ese momento", escribió Intel 471. "Esto tiene sentido en retrospectiva, ya que el grupo de Ermakov también había sido afiliado de REvil.”

Es fácil descartar sanciones como estas como ineficaces, porque mientras el Sr. Ermakov permanezca en Rusia, tiene poco que temer al arresto. Sin embargo, su supuesto papel como aparente miembro superior de REvil lo señala como alguien que probablemente posee grandes sumas de criptomonedas, dijo Patrick Gray, el copresentador australiano y fundador del podcast security news Negocios Arriesgados.

"He visto a algunas personas haciendo caca sobre las sanciones but pero el componente de sanciones en realidad es menos importante que el componente de doxing", dijo Gray. "Porque este tipo se volvió mucho más complicado. Probablemente tendrá que pagar algunos sobornos para no meterse en problemas. Todos los delincuentes en Rusia ahora saben que es un joven vulnerable de 33 años con una tonelada absoluta de bitcoin. Así que este no es un momento feliz para él.”



>>Más