En este caso que presentaremos, a partir de una denuncia realizada por una importante empresa de la Zona Norte de Buenos Aires, desde la Unidad Fiscal Especializada en la Investigación de Ciberdelitos (UFEIC), a cargo del Fiscal Alejandro Musso, pudimos llegar a identificar a cuatro personas de nacionalidad rusa que recibieron grandes cantidades de dinero provenientes de Addresses asociadas al ransomware Lockbit.
______________________________________________________________________________________________
En el mundo, existen existen varios casos de ransomware denunciados ante la justicia, pero debido a su gran complejidad técnica, es muy difícil llegar a identificar a sus autores a través de las distintas diligencias informáticas que se puedan realizar sobre los elementos informáticos afectados.
Es muy similar el caso de Argentina, en el que podemos ver que muchos organismos públicos y empresas caen en las garras de grandes organizaciones que, si bien nunca pusieron un pie en el país, generan fuertes dolores de cabeza a los encargados de protección de datos públicos y privados en Argentina.
“El ransomware LockBit es un software malicioso diseñado para bloquear el acceso de los usuarios a los sistemas informáticos y pedir el pago de un rescate para restablecerlo
Lockbit, en todas sus variantes, resulta ser uno de los más activos y letales ransomware en todo el mundo.
“El ransomware LockBit es un software malicioso diseñado para bloquear el acceso de los usuarios a los sistemas informáticos y pedir el pago de un rescate para restablecerlo. LockBit busca automáticamente objetivos valiosos, propaga la infección y cifra todos los sistemas informáticos accesibles en una red. Este ransomware se utiliza para lanzar ataques selectivos contra empresas y otras organizaciones” (Kaspersky).
Más allá de su gran complejidad a nivel de software, insistimos con que seguir el dinero siempre nos lleva a buenos resultados en cualquier investigación que tenga componentes financieros.
Se pudo identificar en primer término a una persona de nacionalidad rusa, que era el encargado de recibir todas las transacciones -por grandes sumas de dinero en BTC-
En lo que al trámite de la causa respecta, haciendo una profunda investigación, aplicando variables que nos permiten trabajar las diversas herramientas de rastreo criptográfico que utiliza la Fiscalía, se logró mediante un filtrado, obtener una gran cantidad de direcciones asociadas a esta empresa criminal, determinando fehacientemente que muchas de las transacciones siempre terminaban en una misma Address, perteneciente a un Exchange de gran renombre, que afortunadamente colabora con la justicia.
Solicitando la información correspondiente al exchange, se pudo identificar en primer término a una persona de nacionalidad rusa, que era el encargado de recibir todas las transacciones -por grandes sumas de dinero en BTC- que a continuación se detallan:
Al respecto, se le solicitó al exchange que informe si esta cuenta había sido investigada previamente por alguna agencia del mundo, respondiendo por la negativa.
A continuación, la documentación aportada por el primer sospechoso identificado:
Con esta identidad revelada, y junto con la totalidad de sus movimientos en el Exchange, se pudo continuar la investigación hacia un nivel superior.
En efecto, se pudo determinar que el investigado registraba gran flujo de dinero con tres cuentas en particular, pertenecientes al mismo Exchange, que permitieron la identificación de tres ciudadanos rusos más, a quienes también se les encontró dinero proveniente de Lockbit.
Con la ayuda de I2 Analyst’s Notebook, se pudo realizar este análisis sobre miles de transacciones, del cual emergen aquellas cuentas con mayor intercambio dinerario con el sospechoso, pudiendo ilustrar a continuación algunas de las tantas transacciones realizadas entre los ciudadanos rusos.
En el caso de estas tres personas que se sumaron a la investigación, el Exchange informó que sí habían sido objeto de investigación previamente, pero que no podían informar qué agencia había sido la requirente debido a sus políticas de resguardo de la información.
Si bien todavía no está muy claro el rol que cumplen dentro de la organización, entendemos que resultan ser muy cercanos al núcleo de la misma por el gran flujo dinerario que intercambian.
En ese aspecto, no se descarta que alguno de los identificados pertenezca al circulo íntimo de la empresa criminal.
Finalmente, resta decir que la investigación sigue su curso, y depende de la colaboración de distintos organismos internacionales para poder llegar a resultados más ambiciosos, tarea por demás desafiante.