La Oficina de Control de Activos Extranjeros (OFAC) del Departamento de Tesoro de los Estados Unidos, identificó a dos facilitadores financieros que realizaban actividades cibernéticas maliciosas desde Irán: se encargaban de lavar el dinero de los ataques ransomware SamSam.
Las medidas legales se tomaron en contra de Ali Khorashadizadeh y Mohammad Ghorbaniyan, de nacionalidad Iraní, quienes ayudaron a cambiar los pagos realizados en moneda digital bitcoin, producto de rescates de información secuestrada, a riales iraníes.
Dichos pagos se realizaban a favor de actores cibernéticos maliciosos de Irán, que están involucrados en el esquema de ransomware SamSam, el cual atacó, desde el 2015, a más de 200 víctimas en los Estados Unidos, Reino Unido y Canadá.
Además, por estos hechos, el Departamento de Justicia de los Estados Unidos acusó a los dos actores criminales iraníes por infectar numerosas redes de datos con el ransomware SamSam en los Estados Unidos, el Reino Unido y Canadá desde 2015.
"El Tesoro está apuntando a los intercambiadores de divisas digitales que han permitido a los actores cibernéticos iraníes beneficiarse de la extorsión por el rescate de información digital secuestrada. A medida que Irán se vuelve cada vez más aislado y desesperado por acceder a los dólares estadounidenses, es vital que los intercambios de divisas virtuales, los intercambiadores entre pares y otros proveedores de servicios de moneda digital refuercen sus redes contra estos esquemas ilícitos", señaló el Subsecretario del Tesoro para el Terrorismo e Inteligencia Financiera, Sigal Mandelker.
Mandelker también reveló que se están publicando las direcciones de moneda digital para identificar a los actores ilícitos que operan en el ciberespacio. Y subrayó que “El Tesoro perseguirá agresivamente a Irán y otros regímenes deshonestos que intentan explotar las monedas digitales y las debilidades de las salvaguardas cibernéticas y de los sistemas Antilavado de Activos y Contra la Financiación del Terrorismo (ALA/CFT) para promover sus objetivos criminales”.
El ramsomware SamSam atacó numerosas corporaciones, hospitales, universidades y agencias gubernamentales y mantuvo como rehén la información de más de 200 víctimas para obtener ganancias financieras. El ataque de ransomware SamSam se aprovechaba de las vulnerabilidades de las redes informáticas para obtener acceso y copiar el ransomware SamSam.
Una vez en la red, los actores cibernéticos obtenían derechos de administrador permitiéndoles tener el control de los servidores y archivos de las víctimas sin su autorización. Luego estos delincuentes cibernéticos exigían que se pagara un rescate en monedas bitcoin para que la víctima recuperará el acceso y el control de su red.
Por lo que el papel que desempeñaban Khorashadizadeh y Ghorbaniyan fue fundamental para el éxito de la transacción. Ellos se encargaron de intercambiar la moneda digital producto de los pagos extorsivos a la moneda iraní, el rial, e incluso se encargaban de introducirlos en los bancos iraníes.
Las dos monedas digitales identificadas, que fueron usadas para estos hechos delictivos, son:
1. 149w62rY42aZBox8fGcmqNsXUzSStKeq8C
2. 1AjZPMsnmpdK2Rv9KQNfMurTXinscVro9V
Dichas monedas fueron utilizadas por estas personas desde el 2013 para procesar más de 7.000 transacciones. Durante este tiempo lograron interactuar con más de 40 intercambiadores, incluso algunos con sede en los Estados Unidos y enviaron aproximadamente 6.000 bitcoins por millones de dólares.
Esta es la primera vez que la OFAC atribuye de forma pública las direcciones de moneda digital a alguien. Según la OFAC, de la misma manera que sucede con los identificadores tradicionales, dichas direcciones de moneda digital “deben ayudar a las personas en las comunidades de cumplimiento y moneda digital a identificar las transacciones y fondos que deben bloquearse e investigar cualquier conexión a estas direcciones”.
Por ahora, Khorashadizadeh y Ghorbaniyan podrían verse sujetos a sanciones secundarias por estos hechos. Según la OFAC “Independientemente de si una transacción está denominada en una moneda digital o en una moneda fiduciaria tradicional, las obligaciones de cumplimiento de la OFAC son las mismas”.
En contra de Khorashadizadeh y Ghorbaniyan los cargos los señalan “de haber asistido, patrocinado o proporcionado apoyo financiero, material o tecnológico o bienes o servicios para o en apoyo de los ataques de SamSam ransomware”.
Según el departamento de Tesoro, esta es la cuarta ronda de sanciones de los Estados Unidos contra el régimen iraní este mes. Durante dos años la OFAC ha sancionado a más de 900 individuos, entidades, aviones y embarcaciones, por una serie de actividades relacionadas con el apoyo de Irán al terrorismo, el programa de misiles balísticos, la proliferación de armas, los ataques cibernéticos y la actividad delictiva transnacional. Así como la censura y los abusos a los derechos humanos.