Un miembro del grupo de ciberdelincuencia Karakurt ha sido condenado en Estados Unidos a 8,5 años de prisión por su papel como negociador en operaciones a gran escala de ransomware y extorsión de datos.
According to US authorities Deniss Zolotarjovs, un ciudadano letón, desempeñó un papel central en la negociación de demandas de rescate en nombre del grupo Karakurt. Fue arrestado en Georgia en 2023 y posteriormente extraditado a Estados Unidos, donde se declaró culpable de cargos de conspiración relacionados con fraude electrónico y blanqueo de capitales.
Los fiscales dijeron que Zolotarjovs actuó como negociador de “casos sin resolver”, volviendo a contactar con víctimas que inicialmente se negaron a pagar las exigencias de rescate. Su función consistía en ejercer presión adicional aprovechando datos robados, incluyendo información personal y sanitaria sensible, para obligar a las organizaciones a reconsiderar el pago.
El grupo Karakurt, que surgió de miembros vinculados a la operación de ransomware Conti, se centró principalmente en el robo de datos y la extorsión en lugar de ataques basados en cifrado. Tras vulnerar en las redes, el grupo exfiltraba grandes volúmenes de datos y amenazaba con filtrarlos o venderlos a menos que las víctimas pagaran.
Los documentos judiciales muestran que Zolotarjovs estuvo vinculado a al menos seis casos de extorsión dirigidos a organizaciones estadounidenses entre 2021 y 2023. En estos incidentes, los atacantes utilizaron tácticas de negociación diseñadas para maximizar los pagos investigando a las víctimas y adaptando campañas de presión.
Las autoridades estiman que los ataques vinculados a su actividad causaron decenas de millones de dólares en pérdidas. En un subconjunto de casos confirmados, 13 organizaciones víctimas reportaron más de 56 millones de dólares en daños, incluyendo pagos de rescate que sumaban aproximadamente 2,8 millones de dólares. Se cree que otras víctimas pagaron al menos 13 millones de dólares, aunque las cifras completas siguen sin estar claras debido a la infradenuncia.
Los investigadores señalaron que Zolotarjovs también tenía vínculos con otras operaciones de ransomware, incluyendo grupos como Royal, Akira y TommyLeaks, lo que indica solapamiento dentro del ecosistema más amplio del cibercrimen.
Los funcionarios describieron el caso como un paso importante para atacar a individuos implicados en operaciones de ransomware, especialmente a quienes negocian y hacen cumplir las demandas de extorsión. Zolotarjovs es el primer miembro conocido del grupo Karakurt en ser sentenciado en Estados Unidos, con las autoridades señalando que podrían seguir más procesamientos.
El caso pone de manifiesto el creciente enfoque en desmantelar la infraestructura humana detrás de las campañas de ransomware, incluidos los negociadores que desempeñan un papel clave en convertir brechas de datos en ganancias económicas.