El 7 de febrero de 2023, un ciudadano ruso se declaró culpable en EE. UU. de los cargos de lavado de dinero y de intentar ocultar el origen de los fondos obtenidos en relación con los ataques del ransomware Ryuk.
Denis Mihaqlovic Dubnikov, de 30 años, fue detenido en Ámsterdam en noviembre de 2021 antes de ser extraditado de los Países Bajos en agosto de 2022. Está esperando la sentencia el 11 de abril de 2023.
«Entre al menos agosto de 2018 y agosto de 2021, Dubnikov y sus co-conspiradores lavaron las ganancias de los ataques de ransomware Ryuk contra personas y organizaciones en todo Estados Unidos y en el extranjero», dijo el Departamento de Justicia (DoJ) dicho.
Se dice que Dubnikov y sus cómplices se involucraron en varios esquemas criminales diseñados para ocultar el rastro de las ganancias mal habidas.
Según el Departamento de Justicia, una parte del rescate de 250 Bitcoin pagado por una empresa estadounidense en julio de 2019 después de un ataque de Ryuk fue enviado a Dubnikov a cambio de unos 400.000 dólares. Posteriormente, la criptografía se convirtió a Tether y se transfirió a un co-conspirador, quien luego la cambió por el renminbi chino.
En total, se estima que las partes involucradas en la empresa criminal lavaron al menos $ 150 millones en pagos de rescate.
Dubnikov también es cofundador de Coyote Crypto y Eggchange, y este último tiene su sede en Federation Tower East (o Vostok), un rascacielos superalto conocido por albergar varios negocios de criptomonedas con vínculos con el lavado de dinero asociado con operaciones de ransomware.
Según Chainalysis, Eggchange recibió Más de $34 millones en criptomonedas de mercados de darknet, estafas, tiendas de fraude y operadores de ransomware entre 2019 y 2021.
Ryukque surgió por primera vez en el panorama de amenazas en 2018, se atribuye a un actor de amenazas rastreado como Araña hechicera y ha comprometido a los gobiernos, la academia, la atención médica, la fabricación y las organizaciones tecnológicas.
A menudo entregado a través de malware de primera etapa como TrickBot o BazarBackdoor, Ryuk también es un precursor del ransomware Conti, que cerró sus operaciones en mayo de 2022 y se dividió en unidades más pequeñas.