Según los fiscales federales de Oregón, Karen Serobovich Vardanyan se declaró culpable el 8 de julio de haber colaborado en la operación de una campaña de ransomware Ryuk que robó más de 15 millones de dólares en bitcoin a empresas estadounidenses.
Vardanyan, un ciudadano armenio de 34 años extraditado desde Ucrania, será sentenciado este otoño por un juez. Por ambos cargos, podría pasar hasta 15 años en prisión.
Según la Fiscalía del Distrito de Oregón, Vardanyan admitió los cargos de conspiración y fraude informático. Cada cargo tiene su propia pena máxima: la conspiración conlleva una sentencia de cinco años y el fraude informático, de diez años. Además, cada delito incluye una multa de 250 000 dólares y tres años de libertad condicional supervisada. En febrero de 2024, un gran jurado federal de Portland lo acusó de un tercer cargo de extorsión, el cual no se resolvió con la declaración de culpabilidad.
Según la fiscalía, el plan operó desde noviembre de 2019 hasta abril de 2020. Tras infiltrarse en redes corporativas, Vardanyan y sus cómplices utilizaron Ryuk. Ryuk es un tipo de malware que bloquea y cifra los archivos de la víctima hasta que se paga un rescate. Según los investigadores, el grupo instaló el software en cientos de estaciones de trabajo y servidores. Posteriormente, dejaba notas de rescate en las que solicitaba una dirección de correo electrónico y bitcoin para que las víctimas pudieran negociar la recuperación del acceso a sus sistemas.
El Departamento de Justicia declaró en un comunicado de prensa el 9 de julio que “se colocó una nota de rescate en los sistemas informáticos exigiendo pagos en Bitcoin, una criptomoneda, y se proporcionó una dirección de correo electrónico que las víctimas podían usar para comunicarse con los ciberdelincuentes”. La billetera estaba bajo el control del grupo. Los atacantes entregaron a la víctima las claves de descifrado después de que esta realizara el pago.
Según los fiscales, una empresa de Michigan pagó 200 bitcoin para recuperar el acceso a su red. En ese momento, el bitcoin valía más de 1,1 millones de dólares. Una empresa tecnológica de Wilsonville, Oregón, también fue blanco de la campaña. Y en febrero de 2020, atacó a una escuela de Texas. Según el Departamento de Justicia, la operación recibió un total de aproximadamente 1610 bitcoin , cuyo valor superaba los 15 millones de dólares en el momento de los pagos.
La fiscalía no ha publicado una lista completa de las víctimas. Además, no existe un historial de transacciones ni un desglose de qué pagos se originaron en cada ataque.
Vardanyan aceptó pagar una indemnización total de más de 1,1 millones de dólares como parte de su declaración de culpabilidad. Un juez federal de distrito de Portland revisará el caso el 22 de septiembre de 2026. El tribunal tendrá en cuenta el monto de la indemnización, el acuerdo de culpabilidad y las directrices federales para la imposición de penas.
El FBI llevó a cabo la investigación. La fiscal adjunta Katherine A. Rykken está a cargo del caso, y el fiscal federal Scott E. Bradford anunció la declaración de culpabilidad. La Oficina de Asuntos Internacionales del Departamento de Justicia colaboró en la detención y extradición de Vardanyan desde Ucrania. La Fiscalía de los Estados Unidos reconoció la ayuda prestada por las autoridades ucranianas.
Cryptopolitan recientemente informó sobre una operación independiente. Los atacantes utilizaron un bot de comercio falso de Polymarket para distribuir malware de robo de credencialesdentmás de 50 desarrolladores.
Si estás leyendo esto, ya llevas ventaja. Mantente al día con nuestro boletín informativo.