El DOJ incauta $2.8 millones en criptomonedas vinculadas al ransomware Zeppelin

El Departamento de Justicia de EE. UU. (DOJ) des selló el miércoles seis órdenes federales que autorizan la incautación de más de $2.8 millones en criptomonedas, junto con $70,000 en efectivo y un vehículo de lujo, de un hombre acusado de dirigir el notorio y ahora extinto esquema de ransomware Zeppelin.

Según el DOJ, el sospechoso, Ianis Aleksandrovich Antropenko, está acusado por un gran jurado en el Distrito Norte de Texas de conspirar para cometer fraude y abuso informático, fraude y abuso informático, y conspiración para cometer lavado de dinero.

“Como se alega en las órdenes des selladas, la criptomoneda y otros activos son productos de (o estuvieron involucrados en el lavado de los productos de) la actividad de ransomware”, dijeron los funcionarios del DOJ en un comunicado de prensa el jueves.

Los fiscales federales alegan que Antropenko utilizó el ransomware Zeppelin entre 2019 y 2022 para atacar a víctimas en todo el mundo, incluidos individuos, hospitales, empresas y proveedores de TI en los Estados Unidos.

Específicamente, él y sus asociados cifraron los datos de las víctimas, robaron archivos sensibles y luego exigieron pagos en criptomonedas de las víctimas para recuperar el acceso a sus datos, prevenir su divulgación o tenerlos eliminados permanentemente.

Después de recoger los pagos de rescate, Antropenko supuestamente intentó cubrir sus huellas lavando los fondos a través de varios canales, incluido el ahora extinto servicio de mezcla de criptomonedas ChipMixer, que fue cerrado en una operación internacional coordinada en 2023. Los fiscales dicen que también convirtió criptomonedas en efectivo y realizó depósitos en efectivo estructurados, dividiendo grandes sumas en montos más pequeños para evitar el escrutinio de las autoridades bancarias.

Los agentes federales reconstruyeron la pista del dinero utilizando análisis de blockchain, identificando eventualmente billeteras de criptomonedas que contenían Ethereum (ETH), USD Tether (USDT) y USD Coin vinculadas a Antropenko. Vincularon cuentas de Binance a nombre de Antropenko con el esquema de lavado.

Las oficinas del FBI en Dallas y Norfolk y la Unidad de Activos Virtuales están investigando la actividad de ransomware de Antropenko. Desde 2020, la Sección de Delitos Informáticos y Propiedad Intelectual (CCIPS) del Departamento de Justicia dijo que había asegurado a más de 180 cibercriminales y obtenido órdenes judiciales para la devolución de más de $350 millones en fondos de víctimas.

Según los funcionarios, los activos recuperados de Antropenko se agregarán a la reserva de activos digitales del gobierno, un sistema lanzado por orden ejecutiva en marzo de 2025. La reserva está diseñada para manejar criptomonedas recolectadas a través de la confiscación criminal, dando a las autoridades federales una forma estructurada de rastrear y gestionar adecuadamente los activos digitales vinculados al crimen mientras los casos avanzan por los tribunales.

“CCIPS y sus socios también han interrumpido múltiples grupos de ransomware, evitando que las víctimas tengan que pagar más de $200 millones en pagos de rescate”, agregó el DOJ.

Acerca del Ransomware Zeppelin

El ransomware Zeppelin apareció por primera vez a finales de 2019 como un Ransomware-as-a-Service (RaaS) derivado de la familia de ransomware VegaLocker/Buran, con un enfoque particular en empresas de salud y TI. Aunque el grupo resurgió con nuevas versiones en 2021, sus operaciones se cerraron en noviembre de 2022.

Los investigadores de seguridad revelaron más tarde que habían obtenido acceso a una clave maestra de descifrado ya en 2020, lo que ayudó silenciosamente a muchas víctimas a recuperar datos de sus archivos de forma gratuita. En enero de 2024, se informó que el código fuente del ransomware se había vendido en un foro de hackers por solo $500, lo que significaba su declive y mercantilización.