La policía en Alemania afirma haber identificado al enigmático líder del ransomware Trickbot.

Durante años, los integrantes del cártel cibernético ruso conocido como Trickbot llevaron a cabo una serie incesante de ataques informáticos a nivel global. Este grupo perjudicó a miles de víctimas, incluidas empresas, escuelas y hospitales. En mensajes internos de Trickbot, un miembro llegó a manifestar: “Vamos a atacar clínicas en EE. UU. esta semana”, refiriéndose a una lista de 428 hospitales que tenían como objetivo. Bajo la dirección de un líder enigmático que usaba el seudónimo "Stern", aproximadamente 100 cibercriminales lograron robar cientos de millones de dólares en un período de seis años.

A pesar de numerosos esfuerzos de las autoridades para desmantelar la organización y de la filtración de más de 60,000 mensajes internos de Trickbot y su grupo afín, Conti, la verdadera identidad de Stern había permanecido oculta. Sin embargo, la semana pasada, la policía federal alemana, el Bundeskriminalamt (BKA), y fiscales locales identificaron a Stern como Vitaly Nikolaevich Kovalev, un hombre ruso de 36 años que se cree está en su país y, por lo tanto, es inaccesible a la extradición. Una notificación roja de Interpol señala que Kovalev es buscado en Alemania por supuestamente ser el "cabeza" de una “organización criminal”.

Alexander Leslie, analista de inteligencia de amenazas en una firma de seguridad, comentó que identificar a Stern es un avance importante que ayuda a aclarar aspectos sobre Trickbot, uno de los grupos cibercriminales transnacionales más notables. A lo largo de los años, se especuló que las fuerzas del orden global habrían retenido de manera estratégica la identidad de Stern debido a investigaciones en curso. Según el BKA, Kovalev es sospechoso de ser el "fundador" de Trickbot y utilizaba el seudónimo de Stern.

El BKA señaló que sus investigaciones en el contexto de la Operación Endgame, una iniciativa internacional para desmantelar infraestructuras cibercriminales, permitieron establecer la conexión entre Stern y Kovalev. Este es el primer caso en que una autoridad gubernamental ha atribuido públicamente una identidad a la figura detrás del seudónimo de Stern. A pesar de esto, hasta ahora, otros países no han respaldado públicamente esta identificación.

Varios investigadores de ciberseguridad que han seguido los movimientos de Trickbot no estaban al tanto de esta noticia. Una cuenta anónima en la plataforma X afirmó recientemente que Kovalev utilizaba el seudónimo de Stern y publicó supuestos detalles sobre él. Kovalev ya había sido sancionado en conjunto por Estados Unidos y el Reino Unido a principios de 2023 por su supuesta participación como miembro de alta jerarquía en Trickbot, y también fue acusado de participar en fraudes bancarios en 2010.

Trickbot surgió en 2016, después de que sus miembros migraron de otro malware conocido como Dyre, que fue interrumpido por las autoridades rusas. A lo largo del tiempo, Trickbot utilizó diferentes variantes de ransomware y comenzó a colaborar con el grupo Conti. En 2022, Conti emitió un comunicado apoyando la invasión de Rusia a Ucrania, y un investigador de ciberseguridad que se infiltró en estos grupos filtró miles de mensajes sobre sus operaciones.

Stern era visto como el "CEO" de Trickbot y Conti, operando estas organizaciones como empresas legítimas. El modelo de negocio de Trickbot ha influido en gran medida en otros grupos de cibercriminalidad que lo han imitado. Las autoridades han documentado ampliamente la relevancia de Stern dentro del mundo cibercriminal ruso, destacando que generó ingresos significativos a través de actividades ilegales relacionadas con el ransomware.

Por último, se ha sugerido que Stern podría tener conexiones sueltas con la inteligencia rusa, incluyendo la agencia de seguridad FSB, lo que añade un nivel de complejidad a su figura dentro del ámbito del cibercrimen.