El creador de Raccoon Infostealer detenido por sus imágenes en Instagram

El ciudadano ucraniano Mark Sokolovsky, de 26 años, está esperando la extradición de los Países Bajos a los Estados Unidos por cargos como desarrollador central de Raccoon Infostealer, una popular oferta de "malware como servicio" que ayudaba a sus "clientes" a robar contraseñas y datos financieros. KrebsOnSecurity se enteró de que el acusado fue arrestado en marzo de 2022, luego de huir del servicio militar obligatorio en Ucrania en las semanas posteriores a la invasión rusa.

Raccoon se comercializó en varios foros de ciberdelincuencia en idioma ruso a partir de 2019. Raccoon era esencialmente un panel de control basado en la web donde, por U$S 200 al mes, los clientes podían obtener la última versión del malware Raccoon Infostealer e interactuar con los sistemas infectados en tiempo real.

Los expertos en seguridad dicen que las contraseñas y otros datos robados por el malware Raccoon a menudo se revendían a grupos involucrados en la implementación de ransomware. En colaboración con investigadores de Italia y los Países Bajos, las autoridades estadounidenses incautaron una copia del servidor utilizado por Raccoon para ayudar a los clientes a administrar sus botnets.

Según el Departamento de Justicia de EE.UU., los agentes del FBI han identificado más de 50 millones de credenciales y formas de identificación únicas (direcciones de correo electrónico, cuentas bancarias, direcciones de criptomonedas, números de tarjetas de crédito, etc.) robadas con la ayuda de Raccoon.

La acusación no profundiza mucho en cómo los investigadores vincularon a Sokolovsky con Raccoon, pero dos fuentes cercanas a la investigación compartieron más información sobre ese proceso bajo condición de anonimato porque no estaban autorizados a discutir el caso públicamente.

Según esas fuentes, las autoridades de EE.UU. se concentraron en un error que el desarrollador de Raccoon cometió al principio de sus publicaciones en los foros, conectando una cuenta de Gmail para utilizada por el desarrollador de Raccoon ("Photix") a un Cuenta de iCloud de Apple perteneciente a Sokolovsky. 

Por ejemplo, la acusación incluye una foto que los investigadores solicitaron de la cuenta de iCloud de Sokolovsky que lo muestra posando con varias pilas de dinero en efectivo.

Cuando Rusia invadió Ucrania a fines de febrero de 2022, Sokolovsky vivía en Kharkiv, una ciudad en el noreste de Ucrania que pronto sería objeto de un fuerte bombardeo de artillería por parte de las fuerzas rusas. Las autoridades que monitoreaban la cuenta de iCloud de Sokolovsky habían pasado semanas viéndolo viajar entre Kharkiv y la capital ucraniana, Kyiv, pero el 18 de marzo de 2022, su teléfono apareció repentinamente en Polonia.

Los investigadores supieron por los guardias fronterizos polacos que Sokolovsky había huido de Ucrania en un Porsche Cayenne junto con una joven rubia, dejando atrás a su madre y a otra familia. Luego, las autoridades rastrearon el teléfono de Sokolovsky a través de Alemania y, finalmente, a los Países Bajos, y su compañera documentó amablemente cada paso del viaje en su cuenta de Instagram. 

Sokolovsky (también conocido en línea como raccoonstealer, Photix y black21jack77777, según la acusación) fue arrestado en marzo de 2022 y actualmente está encarcelado en los Países Bajos mientras espera ser extraditado a los Estados Unidos.

Alrededor del momento del arresto, BleepingComputer informó que el grupo de ciberdelincuencia Raccoon Stealer suspendió sus operaciones después de afirmar en foros de hacking de habla rusa que uno de sus principales desarrolladores murió durante la invasión de Ucrania.

Desde entonces, la operación Raccoon Stealer se ha relanzado a principios de junio con de una nueva versión, construida desde cero usando C/C++ y que presenta un nuevo back-end, front-end, así como nuevas capacidades de robo de datos.

El FBI también ha creado un sitio web que permite a cualquier persona verificar si sus datos han sido robados por Raccoon Infostealer.

Fuente: BC

Suscríbete a nuestro Boletín