El Departamento de Justicia de Estados Unidos anunció el 12 de junio, hora local, que un ciudadano ucraniano extraditado a Estados Unidos desde Irlanda se declaró culpable de cargos relacionados con su papel en la operación de ransomware Conti. El hombre, Oleksii Oleksiyovych Lytvynenko, de 44 años, se declaró culpable de conspiración para cometer fraude electrónico por su papel en múltiples ataques de ransomware Conti entre 2021 y 2022.
Los fiscales señalaron que Lytvynenko y sus asociados utilizaron el ransomware Conti para invadir las redes de múltiples organizaciones de víctimas en los Estados Unidos y en el extranjero, cifraron sus sistemas y dispositivos después de robar datos y utilizaron esto para extorsionar a las víctimas con un rescate en Bitcoin. Según el caso revelado por el Departamento de Justicia, Lytvynenko admitió haberse unido a la pandilla Conti desde aproximadamente septiembre de 2021 y poseer datos robados de ocho víctimas estadounidenses y cuatro víctimas extranjeras.
También admitió haberse unido a un grupo liderado por otro co-conspirador de Conti, responsable de desarrollar un programa malicioso llamado "cargador". Estas herramientas se utilizan para implementar otros componentes de malware necesarios para llevar a cabo el ataque y son un eslabón clave en la cadena de ataque del ransomware.
La operación de ransomware Conti era una de las organizaciones cibercriminales más activas y destructivas del mundo en ese momento, y tenía como objetivo hospitales, empresas, escuelas y agencias gubernamentales de todo el mundo. Los documentos judiciales muestran que la pandilla Conti atacó a más de 1.000 víctimas en todo el mundo y obtuvo más de 150 millones de dólares en ganancias ilícitas mediante demandas de rescate.
La declaración de culpabilidad se produce tras el arresto de Lytvynenko en Irlanda en julio pasado y su posterior extradición a Estados Unidos. La sentencia máxima que enfrenta por los cargos actuales es de 20 años de prisión, y la sentencia final será determinada por el tribunal.
La información disponible públicamente muestra que se cree que la banda de ransomware Conti evolucionó a partir del grupo de cibercrimen Ryuk y está estrechamente relacionada con el grupo de malware TrickBot. El grupo es conocido por lanzar ataques de ransomware a gran escala contra instituciones médicas, agencias gubernamentales y grandes empresas.
Conti anunció el cierre en 2022 en medio de filtraciones de registros de chat internos y una creciente presión policial mundial. Los investigadores de seguridad creen que los miembros principales de Conti no han abandonado el cibercrimen desde entonces, pero se han reorganizado y se han unido o liderado muchos otros grupos de ransomware, incluidos BlackCat (también conocido como ALPHV), Black Basta, ZEON, Hive, Quantum, BlackByte, Karakurt y Silent Ransom Group.
Además de la acusación contra Lytvynenko, Estados Unidos y el Reino Unido anunciaron sanciones y acusaron penalmente a nueve ciudadanos rusos ya en septiembre de 2023 en relación con las operaciones de ransomware TrickBot y Conti, alegando su participación en ataques a más de 900 víctimas en todo el mundo. Estas acciones demuestran una vez más la fuerza y la persistencia de la cooperación entre los organismos multinacionales encargados de hacer cumplir la ley en la lucha contra los delitos transnacionales de ransomware.