Cómo el Kremlin proporciona un "puerto seguro" para el ransomware. Una epidemia mundial de extorsión digital conocida como ransomware está paralizando a los gobiernos locales, hospitales, distritos escolares y empresas al cifrar-secuestrar-publicar sus archivos de datos hasta que paguen. Las fuerzas del orden han sido en gran parte impotentes para detenerlo. Ya en 2017 se hablaba que el 75% de todo el Ransomware estaba desarrollado por rusos y en 2022, que el 74% del dinero robado en ataques de ransomware va a parar a Rusia.

Muchas familias de ransomware realizan comprobaciones para asegurarse de que no se estén ejecutando en un dispositivo víctima ubicado en determinadas regiones de CIS. Mirando la configuración del teclado (idioma o denominado el "keyboard layout"). Los siguientes países suelen quedar excluidos de la ejecución:

• Rusia
• Nación Cherokee
• Ucrania
• Tártaro
• Yakut
• Sakha

Ejemplo Revil, si el "Keyboard language" del sistema corresponde a cualquier valor del siguiente listado, la ejecución del ransomware se detiene sin realizar ninguna acción

• 0x818 – Romanian (Moldova)
• 0x419 – Russian
• 0x819 – Russian (Moldova)
• 0x422 – Ukrainian
• 0x423 – Belarusian
• 0x425 – Estonian
• 0x426 – Latvian
• 0x427 – Lithuanian
• 0x428 – Tajik
• 0x429 – Persian
• 0x42B – Armenian
• 0x42C – Azeri
• 0x437 – Georgian
• 0x43F – Kazakh
• 0x440 – Kyrgyz
• 0x442 –Turkmen
• 0x443 – Uzbek
• 0x444 – Tatar
• 0x45A – Syrian
• 0x2801 – Arabic (Syria)

Comprobaciones idioma del sistema a infectar por parte de REvil:

Análisis principales familias de ransomware actuales, ninguna afecta al países con orígenes rusos (CIS) Fuente: MalwareBytes

Ransomware Ataques en 2021 ¿Activo? ¿Funciona en países CIS?

• Conti (215) 215 Si No
• Avaddon (161) 161 No No
• REvil (116) 116 No No
• DarkSide (75) 75 No No
• PYSA (68) 68 Si No
• DoppelPaymer (60) 60 Si No
• CL0P (44) 44 Si No
• Babuk Locker (43) 43 Si No
• RagnarLocker (30) 30 Si No
• NetWalker (22) 22 Si No
• Nefilim (17) 17 Si No
• RansomEXX (14) 14 Si No
• Mount Locker (8) 8 Si No

Ejemplo Ransomware DarkSide que afectó al oleoducto más importante de Estados Unidos:

Cómo el ransomware evita los países de la CEI

Hay una serie de técnicas que los creadores de ransomware utilizan comúnmente e incluyen en su código para evitar los países de la CEI, como codificar nombres de países y territorios geográficos y verificar el idioma del sistema.

Algunos actores de amenazas incluyen código para verificar el idioma predeterminado del sistema, por ejemplo, llamando a las funciones GetUserDefaultLangID o GetLocaleInfoW, que devuelven un idioma en particular a un usuario, por ejemplo, inglés estadounidense. Otro proceso de comprobación es la dirección IP de la víctima a través de la API pública, como api.ipify.org. Debido a que las direcciones IP se asignan geográficamente, se pueden usar para adivinar la ubicación aproximada del usuario.

Aunque el ransomware se esfuerza mucho por no ejecutarse en Rusia o la CEI, a veces lo hace. Cuando el ransomware ha conectado sistemas en esos países por accidente, se sabe que los atacantes entregan claves de descifrado y se disculpan por el error.

Una conversación entre un contacto de ransomware de Avaddon que se comunicó con una empresa víctima después de descubrir que la empresa tiene una oficina en Armenia, que es una zona prohibida para ellos. (Fuente: LeMagIT)

Ejemplo de los operadores de  Avaddon disculpándose por haber infectado (atacado) sistemas de Armenia (Región CIS)

¿Por qué el ransomware evita Rusia?

Entonces, ¿qué hay detrás del interés del ransomware por evitar ataques dentro del CIS? Aunque es posible que algunas bandas de ransomware operen con la cooperación activa del estado ruso, esa no es la opinión predominante.

La administración Biden, y muchos profesionales de la seguridad, creen que las bandas de ransomware operan con la bendición de Rusia o que el país está haciendo la vista gorda. Las bandas de ransomware no esperan enfrentarse a ninguna sanción desde el interior del CIS, siempre que eviten atacar a sus organizaciones. Y dado que Rusia no tiene un tratado de extradición con los EE. UU., Las pandillas que operan allí también son inalcanzables e intocables por las fuerzas del orden de EE. UU.

En pocas palabras, el ransomware es una forma de delito cibernético de bajo riesgo y alta recompensa, si evita el CIS.

Sin embargo, la música ambiental está cambiando y se están realizando esfuerzos para aumentar los riesgos criminales que enfrentan. Incluso antes del ataque Colonial Pipeline en abril, los funcionarios del gobierno de EE. UU. Y los expertos en ciberseguridad estaban comenzando a hablar del ransomware como una amenaza para la seguridad nacional.

“Quienes están detrás de estas actividades maliciosas deben rendir cuentas de sus acciones. Eso incluye a los gobiernos que no usan todo el alcance de su autoridad para detener a los culpables ”, dice el secretario de Seguridad Nacional, Alejandro Mayorkas, en un discurso que pronunció el 31 de marzo.

Independientemente de si el ransomware, o cualquier malware, para el caso, verifica si su víctima se encuentra en un estado CIS o afiliado a CIS o no, vale la pena recordar que los ataques en los que se utilizan no están automatizados. Un nivel de participación humana es parte del modus operandi.

Entonces, antes de pensar en comprar teclados rusos, instalar paquetes de idioma ruso u otros trucos extraños, ten en cuenta que para cuando un operador de ransomware se haya puesto en posición de atacarlo, ya sabe mucho sobre ti y tu negocio, como donde se encuentran su sede principal y oficinas satélite. Tratar de convencerlos de lo contrario —en cualquier momento, en realidad— es un poco ridículo, poco práctico y una pérdida de esfuerzo.

Una gran razón: las bandas de ransomware están dominados por ciberdelincuentes de habla rusa que están protegidos, y a veces son empleados, por agencias de inteligencia rusas, según investigadores de seguridad, las fuerzas del orden de EE. UU. Y ahora la administración de Biden.

Estados Unidos ha impuesto sanciones a Rusia por actividades malignas, incluida el hacking respaldada por el estado, el Departamento del Tesoro dijo que la inteligencia rusa ha permitido ataques de ransomware al cultivar y cooptar a piratas informáticos criminales y darles un puerto seguro. Con los daños del ransomware ahora en decenas de miles de millones de dólares, el exjefe cibernético de la inteligencia británica Marcus Willett consideró recientemente que el flagelo es "posiblemente más dañino desde el punto de vista estratégico que el ciberespionaje estatal".

El valor de la protección del Kremlin no pasa desapercibido para los propios ciberdelincuentes. A principios de este año, un foro de la web oscura en ruso se iluminó con críticas a un proveedor de ransomware conocido solo como "Bugatti", cuya banda había sido atrapada en una operación poco común entre Estados Unidos y Europol. Los carteles reunidos lo acusaron de invitar a la represión con descuido técnico y de reclutar afiliados no rusos que podrían ser delatores o policías encubiertos.

Lo peor de todo es que, en opinión de un miembro activo del foro desde hace mucho tiempo, Bugatti había permitido a las autoridades occidentales incautar servidores de ransomware que podrían haber estado protegidos en Rusia. "La Madre Rusia ayudará", escribió esa persona. "Ama a tu país y no te pasará nada". La conversación fue captada por la firma de seguridad Advanced Intelligence,

"Como casi cualquier industria importante en Rusia, (los ciberdelincuentes) trabajan con el consentimiento tácito y, a veces, el consentimiento explícito de los servicios de seguridad", dijo Michael van Landingham, ex analista de la CIA que dirige la consultora Active Measures LLC.

Las autoridades rusas tienen una regla simple, dijo Karen Kazaryan, directora ejecutiva del Instituto de Investigación de Internet respaldado por la industria del software en Moscú: “Simplemente nunca trabajes contra tu país y las empresas en este país. Si les robas algo a los estadounidenses, está bien ".

A diferencia de Corea del Norte, no hay indicios de que el gobierno de Rusia se beneficie directamente del delito de ransomware, aunque el presidente ruso Vladimir Putin puede considerar el caos resultante como una ventaja estratégica.

Solo en Estados Unidos el año pasado, el ransomware afectó a más de cien agencias federales, estatales y municipales, más de 500 hospitales y otros centros de atención médica, unas 1.680 escuelas, colegios y universidades y cientos de empresas, según la firma de ciberseguridad Emsisoft.

• https://blog.emsisoft.com/en/38259/ransomware-statistics-for-2020-year-in-summary/

El daño en el sector público solo se mide en ambulancias desviadas, tratamientos contra el cáncer pospuestos, cobro de facturas municipales interrumpidas, clases canceladas y costos crecientes de seguros, todo durante la peor crisis de salud pública en más de un siglo.

La idea detrás de estos ataques es simple: los delincuentes se infiltran en las redes informáticas con software malicioso de codificación de datos, lo utilizan para "secuestrar" los archivos de datos de una organización y luego exigen pagos enormes, ahora de hasta 50 millones de dólares, para restaurarlos. El último giro: si las víctimas no pagan, los delincuentes pueden publicar sus datos descifrados en la Internet abierta.

En los últimos meses, las fuerzas del orden de EE. UU. Han trabajado con socios como Ucrania y Bulgaria para destruir estas redes. Pero con los autores intelectuales criminales fuera de su alcance, tales operaciones son generalmente poco más que whac-a-mole.

La colusión entre los delincuentes y el gobierno no es nada nuevo en Rusia, dijo Adam Hickey, un asistente del fiscal general de Estados Unidos, quien señaló que el ciberdelito puede proporcionar una buena cobertura para el espionaje.

En la década de 1990, la inteligencia rusa reclutaba con frecuencia a piratas informáticos para ese propósito, dijo Kazaryan. Ahora, dijo, los delincuentes de ransomware tienen la misma probabilidad de ser piratas informáticos empleados por el estado.

El Kremlin a veces alista a piratas informáticos criminales arrestados ofreciéndoles la posibilidad de elegir entre la cárcel y trabajar para el estado, dijo Dmitri Alperovitch, ex director técnico de la firma de ciberseguridad Crowdstrike. A veces, los piratas informáticos utilizan los mismos sistemas informáticos para la piratería informática sancionada por el estado y el ciberdelito fuera del horario para el enriquecimiento personal, dijo. Incluso pueden mezclar el estado con los asuntos personales.

Eso es lo que sucedió en un hakeo de Yahoo en 2014 que comprometió más de 500 millones de cuentas de usuario, supuestamente incluidas las de periodistas rusos y funcionarios gubernamentales de Estados Unidos y Rusia. Una investigación estadounidense condujo a la acusación en 2017 de cuatro hombres, incluidos dos oficiales del servicio de seguridad FSB de Rusia, un sucesor de la KGB. Uno de ellos, Dmitry Dokuchaev, trabajaba en la misma oficina del FSB que coopera con el FBI en delitos informáticos. Otro acusado, Alexsey Belan, supuestamente usó el hackeo para beneficio personal.

Un portavoz de la embajada rusa se negó a responder preguntas sobre los supuestos vínculos de su gobierno con los delincuentes de ransomware y la supuesta participación de los empleados estatales en delitos informáticos. "No comentamos sobre acusaciones ni rumores", dijo Anton Azizov, agregado adjunto de prensa en Washington.

No es fácil probar los vínculos entre el estado ruso y las bandas de ransomware. Los delincuentes se esconden detrás de seudónimos y cambian periódicamente los nombres de sus cepas de malware para confundir a las fuerzas de seguridad occidentales.

El ejemplo de Yakubets: un ruso intocable

Pero al menos un proveedor de ransomware se ha vinculado al Kremlin. Maksim Yakubets, de 33 años, es mejor conocido como colíder de una banda cibernética que se llama a sí misma Evil Corp. El Yakubets, nacido en Ucrania, vive un estilo de vida llamativo. Conduce un superdeportivo Lamborghini personalizado con una matrícula personalizada que se traduce como 'Ladrón'. según la Agencia Nacional contra el Crimen de Gran Bretaña.

Yakubets comenzó a trabajar para el FSB en 2017, con la tarea de proyectos que incluyen "adquirir documentos confidenciales a través de medios cibernéticos y realizar operaciones cibernéticas en su nombre", según una acusación formal de diciembre de 2019 en EE. UU. Al mismo tiempo, el Departamento del Tesoro de los Estados Unidos impuso sanciones a Yakubets y ofreció una recompensa de $ 5 millones por la información que condujera a su captura. Dijo que se sabía que estaba "en proceso de obtener una licencia para trabajar con información clasificada rusa del FSB".

La acusación acusó a Evil Corp. de desarrollar y distribuir ransomware utilizado para robar al menos $ 100 millones en más de 40 países durante la década anterior, incluidas las nóminas robadas de ciudades en el corazón de Estados Unidos.

Cuando Yakubets fue acusado, Evil Corp. se había convertido en un importante jugador de ransomware, dicen los investigadores de seguridad. Para mayo de 2020, la pandilla estaba distribuyendo una cepa de ransomware que se utilizó para atacar a ocho compañías Fortune 500, incluido el fabricante de dispositivos GPS Garmin, cuya red estuvo fuera de línea durante días después de un ataque, según Advanced Intelligence.

Yakubets sigue prófugo. Sin embargo, otro ruso actualmente encarcelado en Francia podría ofrecer más información sobre los tratos de los ciberdelincuentes y el estado ruso. Alexander Vinnik fue condenado por lavar $ 160 millones en ganancias delictivas a través de un intercambio de criptomonedas llamado BTC-e. Una acusación formal en Estados Unidos en 2017 acusó a "algunos de los mayores proveedores conocidos de ransomware" en realidad lo usaron para lavar $ 4 mil millones. Pero Vinnik no puede ser extraditado hasta que complete su sentencia de prisión francesa de 5 años en 2024.

Aún así, un estudio de 2018 realizado por el grupo de expertos no partidista Third Way encontró que las probabilidades de enjuiciar con éxito a los autores de ataques cibernéticos contra objetivos estadounidenses (el ransomware y el robo de bancos en línea son los más costosos) no son mejores que tres entre mil. Los expertos dicen que esas probabilidades se han alargado.

Las sanciones de esta semana envían un mensaje contundente, pero no es probable que disuada a Putin a menos que el golpe financiero golpee más cerca de casa, creen muchos analistas.

Eso podría requerir el tipo de coordinación multinacional masiva que siguió a los ataques terroristas del 11 de septiembre. Por ejemplo, los países aliados podrían identificar instituciones bancarias conocidas por lavar los ingresos del ransomware y aislarlas de la comunidad financiera mundial.

"Si puede seguir el dinero y alterar el dinero y eliminar el incentivo económico, será de gran ayuda para detener los ataques de ransomware", dijo John Riggi, asesor de ciberseguridad de la Asociación Estadounidense de Hospitales y exfuncionario del FBI. . 

 El miembro del grupo Evil Corp Andrey PLOTNITSKIY con su Audi R8 de pie sobre HMMWV

 

• https://public-newsroom-nca-01.azurewebsites.net/news/international-law-enforcement-operation-exposes-the-worlds-most-harmful-cyber-crime-group

Evil Corp. (también conocidos por el malware Dridex y el ransomware BitPaymer.) es un grupo de ciberdelincuentes con sede en Rusia activo desde al menos 2007, conocidos por ser los que están detrás de famosos malwares y por utilizar su propio software de rescate como parte de sus ataques, entre ellos el conocido BitPaymer.

Yakubets, conocido bajo el alias "Aqua", es buscado por su participación en un ataque malware informático que infectó a decenas de miles de computadoras tanto en América del Norte como en Europa. Esto resultó en pérdidas financieras reales por un valor aproximado de USD 100 millones.

Declarado como la "mayor amenaza para la ciberseguridad del Reino Unido"por la NCA británica. Mientras tanto, llama poderosamente la atención la vida de lujos que lleva Yakubets en Moscú y que no duda en publicar en redes sociales como Instagram y Vkontakte, la red social rusa creada por Pavel Durov, el fundador de Telegram.

• Como Yakubets reside en Rusia, estas acusaciones no tendrán efecto a menos que abandone el país. "Si abandona la seguridad de Rusia será arrestado y extraditado a Estados Unidos", sentencia la agencia. 
• El suegro de Yakubets, Eduard Bendersky, es un ex oficial del Servicio Federal de Seguridad de la Federación Rusa (FSB), sucesora de la KGB

Yakubets también se asoció directamente con Evgeniy "Slavik" Bogachev, un ciberdelincuente ruso previamente designado responsable de la distribución de los esquemas de malware Zeus, Jabber Zeus y GameOver Zeus que ya en 2017 ofrecía una recompensa del FBI de $ 3 millones por pistas sobre su paradero.

Maksim Yakubets no se esconde. Es exibicionista, maneja un Lamborghini y gastó más de 300 mil dólares en su boda con una empresaria llamada Alyona Benderskaya, evento celebrado en un lujoso club de golf cerca de Moscú. Un enlace que le vincula aún más con el Gobierno ruso puesto que el suegro de Yakubets es un ex oficial de una unidad de fuerzas especiales de élite del FSB, Eduard Bendersky.

La boda de Maksim YAKUBETS en 2017:

En un comunicado a finales del año pasado, el Departamento del Tesoro de EEUU aseguró que el Yakubets había pasado a colaborar directamente con el gobierno ruso, en concreto con el Servicio Federal de Seguridad (FSB, en sus siglas en inglés), una de las principales agencias de seguridad del país.

• Videos de Evil Corp en las redes sociales (por ejemplo VK): Lamborghinis, crías de león y fajos de billetes

Andrey Plotnitsky  (alias Kovalsky) y Kirill Slobodskoy, dos miembros de Evil Corp, en un
taller de reparación de coches junto a un coche perteneciente a otro miembro de Evil Corp
Dmitry Smirnov

Lamborghini Huracan, Nissan GT-R, Audi R8 , Ferrari 458, BMW M3, Dodge Challenger, comprados con transferencias falsas, una boda con Alyona Benderskaya en 2017 de 300.000 euros. Hay varias fotos publicadas que reflejan el lujoso estilo de vida que llevan y cómo gastan los millones de dólares que se les acusa de robar.

Para alimentar más el mito alrededor del ciberdelincuente más grande del mundo, varios medios británicos lo describieron como un intocable en Moscú. Capaz de pasearse por las calles de la capital de Rusia haciendo trompos con su coche, acompañado de la propia policía, con total impunidad. Cabe destacar que su Lamborghini Huracán valorado en 250.000 dólares presume una matrícula con la palabra “Ladrón” escrita en ruso.

Forma parte de los ransomware especialmente agresivos como REvil y NetWalker. Ya que no solo se limita a cifrar los datos, sino que busca archivos personales, bases de datos, servidores de archivo e incluso entornos en la nube. De ahí que WastedLocker tenga como objetivo empresas, ya que cifra todos los datos que puede y así sirve como motor para exigir la mayor recompensa posible.

B217OP777

Lamborghini perteneciente a Maksim YAKUBETS aparcado fuera del Chianti Café, un lugar utilizado por el grupo:

Igor Olegovich Turashev también  buscado por su participación en malware informático que infectó a decenas de miles de computadoras, tanto en América del Norte como en Europa, lo que resultó en pérdidas financieras de decenas de millones de dólares. Turashev supuestamente manejó una variedad de malware Bugat / Cridex / Dridex. Supuestamente conspiró para difundir el malware a través de correos electrónicos de phishing, usar el malware para capturar credenciales bancarias en línea y usar estas credenciales capturadas para robar dinero de las cuentas bancarias de las víctimas. Posteriormente, utilizó el malware para instalar ransomware en las computadoras de las víctimas.

• Denis Gusev, Dmitriy Smirnov, Artem Yakubets, Ivan Tuchkov, Andrey Plotnitskiy, Dmitriy Slobodskoy, y Kirill Slobodsko

Hackeo Yahoo en 2014

Karim Baratov "canadiense" de 22 años fuera capturado y se declarara culpable en noviembre de estar involucrado en el hackeo de Yahoo, la mayor filtración de datos de la historia (hasta la fecha). 

Baratov, hijo de inmigrantes kazajos, recibió un pago de dos funcionarios del FSB como parte de una operación más grande dirigida a Yahoo que también involucró a Alexsey Belan, quien ya había estado en la lista de Cyber's Most Wanted del FBI, pero logró evitar ser extraditado a los EE. UU. fueron utilizados como cyber proxies: intermediarios que llevaron a cabo una operación cibernética ofensiva en beneficio de la agencia de inteligencia rusa. La forma en que los estados organizan y estructuran estas relaciones de poder difiere de un estado a otro, pero la historia de Baratov y Belan proporciona información sobre las relaciones de poder entre el estado ruso y los piratas informáticos. Lo que sabemos ahora afirma en gran medida los rumores que habían estado flotando durante las últimas dos décadas.

La acusación incluía a tres ciudadanos rusos que vivían en Rusia, incluidos dos oficiales del FSB y un ciudadano canadiense residente en Canadá, acusándolos de delito cibernético y espionaje dirigido principalmente a Yahoo a partir de enero de 2014. Los dos oficiales del FSB eran Igor Anatolyevich Sushchin, de 43 años, y Dmitry Aleksandrovich Dokuchaev, 33. Ambos pertenecían al Centro de Seguridad de la Información del FSB. (Sushchin era el superior de Dokuchaev). Fueron acusados de atacar las cuentas en línea de personas específicas, incluidos periodistas y funcionarios gubernamentales en los Estados Unidos y Rusia, así como funcionarios del sector privado en los sectores financiero, de transporte y otros. Para lograr sus objetivos, trabajaron con dos ciberdelincuentes: el ciudadano ruso Alexsey Alexseyevich Belan, también conocido como "Magg", de 29 años, y el canadiense, Karim Baratov, también conocido como "Kay", "Karim Taloverov" y "Karim Akehmet". Tokbergenov, ”22. Según la acusación, los dos oficiales del FSB“ protegieron, dirigieron, facilitaron y pagaron a [los] piratas informáticos criminales para recopilar información a través de intrusiones informáticas en los Estados Unidos y otros lugares ”.

¿Cuál fue el beneficio para Belan y Baratov de trabajar con el FSB? Para Belan, fue evitar una prisión estadounidense. Había sido acusado en los Estados Unidos en 2012 y 2013 por varios delitos cibernéticos y fue arrestado en Europa en junio de 2013. Sin embargo, logró escapar a Rusia antes de ser extraditado. A pesar de que Interpol emitió una Notificación Roja para su arresto en julio de 2013 y el FBI lo agregó a su lista de delincuentes cibernéticos más buscados en noviembre de 2013, el gobierno ruso se negó a arrestarlo. La acusación revela que, en cambio, el gobierno ruso "lo utilizó para obtener acceso no autorizado a la red de Yahoo". Además de evitar tener que enfrentar cargos en un tribunal de EE. UU., Belan se benefició de la información compartida por los oficiales del FSB que lo ayudó a "evitar ser detectado por los EE. UU. Y otras agencias de aplicación de la ley fuera de Rusia, incluida información sobre las investigaciones del FSB sobre piratería informática y técnicas del FSB para identificación de piratas informáticos criminales ". Finalmente, Sushchin y Dokuchaev hicieron la vista gorda ante el enriquecimiento de Belan: además de brindarles acceso a las cuentas de Yahoo, “Belan usó su acceso para robar información financiera como tarjetas de regalo y números de tarjetas de crédito de cuentas de correo web; para obtener acceso a más de 30 millones de cuentas cuyos contactos luego fueron robados para facilitar una campaña de spam; y ganar comisiones por redireccionar de manera fraudulenta un subconjunto del tráfico del motor de búsqueda de Yahoo ".

Los antiguos estados soviéticos cuentan con ciudadanos con habilidades técnicas altamente desarrolladas, gracias a los departamentos universitarios de matemáticas, ingeniería e informática que se han clasificado entre los mejores del mundo durante décadas. 

Los mismos desafíos persisten hoy. Por ejemplo, alguien de unos 20 años que tenga un trabajo de ciberseguridad en el gobierno de Ucrania hoy ganaría aproximadamente $ 3,000 al año. Y aunque Samsung tiene uno de sus centros de I + D más grandes en Kiev, la industria privada de TI no es lo suficientemente grande ni atractiva para absorber la mano de obra calificada disponible.

Dado que los piratas informáticos tienen mucho cuidado de no apuntar a personas dentro del área de la ex Unión Soviética, sino que se concentran en las víctimas en los Estados Unidos y Europa, no es sorprendente que las agencias de aplicación de la ley rusas realicen pocas detenciones. El gobierno ruso a menudo no responde a las solicitudes de asistencia de las agencias de aplicación de la ley extranjeras y con frecuencia protesta cuando los ciudadanos rusos son arrestados en el extranjero. Por ejemplo, cuando Vladimir Drinkman, un ciudadano ruso buscado por cometer un delito cibernético, fue arrestado mientras estaba de vacaciones en Ámsterdam en 2012, el gobierno ruso intentó bloquear la solicitud de extradición del gobierno de EE. UU. Presentando su propia solicitud de extradición, al menos retrasando así el enjuiciamiento.

"La policía rusa y el FSB en particular tienen una muy buena idea de lo que está sucediendo y lo están monitoreando, pero mientras el fraude esté restringido a otras partes del mundo, no les importa", dijo Misha, experta en ciberdelincuencia. 

Fuentes:

https://apnews.com/article/russia-safe-harbor-ransomeware-hacking-c9dab7eb3841be45dff2d93ed3102999

https://carnegieendowment.org/2018/02/02/why-russian-government-turns-blind-eye-to-cybercriminals-pub-75499

https://meduza.io/en/feature/2019/12/12/the-fsb-s-personal-hackers

https://www.riskint.blog/post/tracking-evil-corp-s-cars

https://public-newsroom-nca-01.azurewebsites.net/news/international-law-enforcement-operation-exposes-the-worlds-most-harmful-cyber-crime-group