La justicia francesa contra una memoria USB rusa con secretos: lo esencial del caso del enigmático Ilya D.
Tan solo una conversación descuidada derrumbó un imperio tecnológico en la sombra.
En Francia se inició un proceso por un caso que muestra cómo funciona el mercado del ransomware, con distribución de roles, normas para los participantes y esquemas bien establecidos para sacar el dinero.
En París comenzó el juicio contra un ciudadano ruso de 39 años, Ilya D., a quien la investigación considera uno de los participantes activos del esquema Phobos entre 2019 y 2022. Según la acusación, actuó como afiliado y utilizó infraestructura maliciosa alquilada para los ataques, y su compañera, Marina D., podría haber ayudado en el blanqueo de capitales. La pareja fue detenida en Milán en agosto de 2023, y solo tras más de dos años el caso llegó al tribunal francés.
Una investigación dirigida por la unidad contra el ciberdelito vincula a los imputados con ataques a decenas de organizaciones. En Francia, en el marco de este caso, se identificaron 65 víctimas; el perjuicio total se evaluó en más de 900.000 euros.
Un episodio clave fueron los materiales hallados en una memoria USB. En un documento que los investigadores describen como una especie de registro de actividad, desde 2016 se consignaron numerosos ataques, primero con CryptoMix y luego con Phobos. También había anotaciones sobre el esquema tipo de actuación, incluida la compra de listas de accesos a sistemas ya comprometidos, el cruce de contraseñas y el uso masivo de vulnerabilidades.
Una carpeta aparte, según la investigación, contenía accesos al panel del afiliado, ejemplares de archivos maliciosos e instrucciones. En esos materiales, según se afirma, se especificaba de manera separada la prohibición de atacar a organizaciones de Rusia y de países de la antigua URSS.
También la investigación reconstruyó la lógica del reparto de rescates. Mensajes con el usuario «Syndicate», al que consideran vinculado al desarrollo de Phobos, indican una participación del 30 % a favor del administrador. En el único caso registrado en el que una víctima francesa pagó, el atacante transfirió casi de inmediato 300 dólares a una tercera persona, lo que los investigadores relacionan con el coste de la herramienta de descifrado que el afiliado obtenía del administrador.
En los documentos también aparecen contactos con el usuario «Seva», al que la investigación califica como un operador de blanqueo. A lo largo de una década, en la correspondencia se discutieron operaciones por importes de alrededor de 63 millones de rublos, 284 bitcoins y 185.000 dólares, lo que dibuja la imagen de un negocio clandestino consolidado.
Ilya D. no se declaró culpable y afirmó que los archivos comprometedores podrían haber aparecido por el hackeo de sus dispositivos. El tribunal debe dictar sentencia el 19 de febrero.