Dieciséis rusos son acusados por las autoridades por supuestos vínculos con botnets empleadas en ransomware, ciberataques y espionaje.

El ecosistema de hackers en Rusia ha logrado confundir las fronteras entre el cibercrimen, la ciber-guerra patrocinada por el estado y el espionaje de una manera que es menos común en otras partes del mundo. Recientemente, una acusación formal contra un grupo de ciudadanos rusos y la desarticulación de su extensa botnet han proporcionado un claro ejemplo de cómo una operación de malware ha facilitado una variedad de ataques cibernéticos, que van desde ransomware hasta ataques cibernéticos en Ucrania y espionaje contra gobiernos extranjeros.

El Departamento de Justicia de EE. UU. ha hecho públicas las acusaciones contra 16 individuos asociados a una operación de malware conocida como DanaBot, que según el informe, ha infectado al menos 300,000 máquinas en diferentes partes del mundo. Se describe al grupo como "basado en Rusia", destacando a dos de los acusados, Aleksandr Stepanov y Artem Aleksandrovich Kalinkin, quienes residen en Novosibirsk. El documento menciona a otros cinco sospechosos, mientras que otros nueve son identificados solo por sus seudónimos. Además, el Departamento de Justicia informó que el Servicio de Investigación Criminal de Defensa (DCIS) realizó incautaciones de la infraestructura de DanaBot en varios países, incluyendo EE. UU.

La acusación no solo menciona el uso de DanaBot en actividades delictivas, sino que también hace una afirmación menos común: detalla cómo una segunda variante del malware fue utilizada en operaciones de espionaje dirigidas hacia objetivos militares, gubernamentales y organizaciones no gubernamentales. El fiscal estadounidense Bill Essayli declaró que "el malware generalizado como DanaBot causa daños a cientos de miles de víctimas alrededor del mundo, incluyendo entidades militares, diplomáticas y gubernamentales, generando pérdidas de millones de dólares".

Desde su aparición en 2018, DanaBot ha sido clasificado como un malware "invasivo", inicialmente diseñado como un troyano bancario para robar directamente a los propietarios de los dispositivos infectados, con funciones modulares destinadas al robo de tarjetas de crédito y criptomonedas. Su disponibilidad en un modelo de "afiliación" por el que se ofrecía a otros grupos de hackers a cambio de 3,000 a 4,000 dólares al mes permitió que se utilizara para instalar diferentes tipos de malware en diversas operaciones, incluyendo ransomware. Los primeros objetivos eran principalmente de Ucrania, Polonia, Italia, Alemania, Austria y Australia, pero pronto se expandieron hacia instituciones financieras de EE. UU. y Canadá, según un análisis por la firma de ciberseguridad Crowdstrike.

En un momento del año 2021, DanaBot fue involucrado en un ataque a la cadena de suministro de software que ocultó el malware en una herramienta de codificación JavaScript llamada NPM, que tenía millones de descargas semanales. Crowdstrike identificó víctimas de esta herramienta comprometida en sectores como servicios financieros, transporte, tecnología y medios de comunicación.

La variedad de usos criminales de DanaBot lo ha convertido en una fuerza dominante en el paisaje del cibercrimen, según Selena Larson, investigadora de amenazas en la firma Proofpoint. A diferencia de otros malware, DanaBot también ha sido utilizado en campañas de hacking que parecen estar patrocinadas por el estado o vinculadas a los intereses de agencias del gobierno ruso. Entre 2019 y 2020, se utilizó para atacar a varios funcionarios del gobierno occidental en operaciones de espionaje, mediante mensajes de phishing que simulaban a la Organización para la Seguridad y la Cooperación en Europa y a una entidad gubernamental de Kazajistán.

En las primeras semanas de la invasión a gran escala de Rusia a Ucrania, que comenzó en febrero de 2022, DanaBot fue empleado para instalar una herramienta de denegación de servicio distribuido (DDoS) en máquinas infectadas, atacando el servidor de correo web del Ministerio de Defensa de Ucrania y del Consejo de Seguridad y Defensa de Ucrania. Este contexto ilustra cómo el malware potenciados por criminales ha sido presuntamente adoptado por hackers estatales rusos, un hecho que ha sido menos documentado públicamente.

Un investigador del DCIS, Elliott Peterson, sostiene que algunos miembros de la operación DanaBot fueron identificados después de que infectaran sus propios equipos con el malware, ya sea por pruebas o por accidente. Estas infecciones condujeron a la acumulación de información sobre los hackers en la infraestructura de DanaBot, que posteriormente fue incautada. "Las infecciones accidentales a menudo resultaron en el robo de datos sensibles y comprometedores de las computadoras de los actores y almacenados en los servidores de DanaBot", señala Peterson.

Aunque los operadores de DanaBot siguen prófugos, la ruptura de una herramienta de tan gran escala, que se ha utilizado en diversas formas de hacking de origen ruso —tanto estatal como criminal— representa un hito significativo. Adam Meyers, líder de investigación de inteligencia de amenazas en Crowdstrike, comenta que "cada vez que se interrumpe una operación de varios años, se afecta su capacidad de monetizarla. También crea un vacío, pero cuantas más veces podamos interrumpirlas, más las mantendremos a la defensiva".