10 Millones De Dólares Son Tuyos Si Consigues Que Este Tipo Se Vaya De Rusia

El gobierno de Estados Unidos ofreció esta semana una recompensa de 10 millones de dólares por la cabeza de un hombre ruso que durante los últimos 18 años operó Try2Check, uno de los servicios clandestinos de cibercrimen más confiables para verificar la validez de los datos robados de tarjetas de crédito. Autoridades estadounidenses dicen que tiene 43 años Denis KulkovEl servicio de verificación de tarjetas le hizo ganar al menos8 18 millones, que utilizó para comprar un Ferrari, Land Rover y otros artículos de lujo.

Denis Kulkov, alias "Nordex", en su Ferrari. Imagen: USDOJ.

Lanzado en 2005, Try2Check pronto estaba procesando más de un millón de transacciones de cheques con tarjeta por mes, cobrando 20 centavos por transacción. Los ciberdelincuentes recurrieron a servicios como este después de comprar datos de tarjetas de crédito robadas de una tienda clandestina, con el objetivo de minimizar la cantidad de tarjetas que están inactivas en el momento en que se ponen a disposición de los delincuentes.

Try2Check era tan confiable que eventualmente se convirtió en el servicio oficial de verificación de tarjetas para algunos de los bazares delictivos más bulliciosos del metro, incluido Vault Market, Cice, y Alijo de Joker. Los clientes de estas tiendas de tarjetas que optaron por utilizar el servicio de verificación de tarjetas integrado (pero a la carta) de la tienda de Try2Check podrían esperar reembolsos automáticos en cualquier tarjeta que se encontrara inactiva o cancelada en el momento de la compra.

Muchas tiendas de tarjetas robadas establecidas permitirán a los clientes solicitar reembolsos en tarjetas muertas basadas en informes oficiales de servicios de cheques de terceros confiables. Pero en general, las tiendas más grandes han dirigido a los clientes hacia el uso de su propia versión de marca blanca del servicio Try2Check, principalmente para ayudar a minimizar las disputas sobre tarjetas canceladas.

El miércoles 3 de mayo, los sitios web de Try2Check fueron reemplazados por un aviso de incautación de dominio del Servicio Secreto de los Estados Unidos y Departamento de Justicia de los Estados Unidos, como fiscales en el Distrito Este de Nueva York desclasificación de una acusación y orden de allanamiento Denis Gennadievich Kulkov de Samara, Rusia como propietario.

Las páginas de inicio de sesión de Try2Check han sido reemplazadas por un aviso de incautación de la policía de los EE.

Al mismo tiempo, el Departamento de Estado de los Estados Unidos emitió una recompensa de 10 millones de dólares para obtener información que conduzca al arresto o condena de Kulkov. En noviembre de 2021, el Departamento de Estado comenzó ofreciendo hasta $10 millones para el nombre o la ubicación de los líderes clave de REvil, una importante banda rusa de ransomware.

Como se señaló en el Servicio Secreto denuncia penal (PDF), el servicio Try2Check se anunció por primera vez en el foro de ciberdelincuencia ruso, muy bien protegido Mazafaka, por alguien que usa el mango "KreenJo."Ese identificador usaba el mismo número de cuenta de mensajería instantánea de ICQ (555724) como un habitante de Mazafaka llamado "Nordex.”

En febrero de 2005, Nordex publicó en Mazafaka que estaba en el mercado de cuentas bancarias pirateadas y ofreció el 50 por ciento de la toma. Pidió a los socios interesados que se pusieran en contacto con él en el número de ICQ 228427661 o en la dirección de correo electrónico polkas@bk.ru. Como señaló el gobierno en su orden de registro, Nordex intercambió mensajes con usuarios del foro en ese momento identificándose como un "Denis" de Samara, RU, de 24 años.

En 2017, las fuerzas del orden de EE. incautado el intercambio de criptomonedas BTC-e, y el Servicio Secreto dijo que esos registros muestran que un Denis Kulkov de Samara proporcionó el nombre de usuario "Nordexina, "dirección de correo electrónico nordexin@ya.ru, y una dirección en Samara.

Los investigadores ya habían encontrado cuentas de Instagram donde Kulkov publicó fotos de su Ferrari y su familia. Las autoridades pudieron identificar que Kulkov tenía un iCloud cuenta vinculada a la dirección nordexin@icloud.com, y en la citación que encontró fotos de pasaporte de Kulkov, y más fotos de su familia y autos caros.

Al igual que muchos otros ciberdelincuentes importantes con sede en Rusia o en países con relaciones favorables con el Kremlin, el propietario de Try2Check no fue particularmente difícil de vincular a una identidad de la vida real. En el caso de Kulkov, sin duda fue fundamental para los investigadores estadounidenses que tuvieran acceso a una gran cantidad de información personal vinculada a un intercambio de criptomonedas que Kulkov había utilizado.

Sin embargo, el vínculo entre Kulkov y Try2Check se puede hacer, irónicamente, en base a registros que han sido saqueados por piratas informáticos y publicados en línea a lo largo de los años, incluidos los servicios de correo electrónico rusos, los registros del gobierno ruso y los foros de delitos cibernéticos pirateados.

NORDEX

Kulkov posando con su pasaporte, en una foto que las autoridades obtuvieron al citar su cuenta de iCloud.

Según la firma de ciberseguridad Inteligencia Constella, la dirección polkas@bk.ru se utilizó para registrar una cuenta con el nombre de usuario "Nordex" en bankir[.] com, un sitio web de noticias ahora desaparecido que era una lectura casi estándar para los hablantes de ruso interesados en noticias sobre varios mercados financieros rusos.

Nordex parece haber sido un nerd de las finanzas. En sus primeros días en los foros, Nordex publicó varios hilos largos sobre sus puntos de vista sobre el mercado de valores ruso y las inversiones en fondos mutuos.

Esa cuenta de Bankir se registró desde la dirección de Internet 193.27.237.66 en Samara, Rusia, e incluyó la fecha de nacimiento de Nordex como 8 de abril de 1980, así como su número ICQ (228427661).

Firma de inteligencia cibernética Intel 471 descubrió que la dirección de Internet también se utilizó para registrar la cuenta "Nordex" en el foro de piratería ruso Explotar en 2006.

Constella rastreó a otro Bankir[.] cuenta com creada a partir de esa misma dirección de Internet con el nombre de usuario "Polkas."Esta cuenta tenía la misma fecha de nacimiento que Nordex, pero una dirección de correo electrónico diferente: nordia@yandex.ru. Este y otros correos electrónicos de "nordia@" compartieron una contraseña:"anna59.”

NORDIA

Nordia@yandex.ru comparte varias contraseñas con nordia@list.ru, que Constella dice que se usó para crear una cuenta en un sitio web religioso para un Anna Kulikova de Samara. En la tienda rusa de muebles para el hogar Westwing.ru, La Sra. Kulikova enumeró su nombre completo como Anna Vnrhoturkina Kulikova, y su dirección como 29 Kommunistrecheskya St., Apt. 110.

Una búsqueda en esa dirección en Constella trae un registro de un Anna Denis Vnrhoturkina Kulkov, y el número de teléfono 879608229389.

Los registros de registro de vehículos rusos también han sido pirateados y filtrados en línea a lo largo de los años. Esos registros muestran que la dirección de Apt 110 de Anna está vinculada a Denis Gennadyvich Kulkov, nacido el 8 de abril de 1980.

El vehículo Kolkov registrado en 2015 en esa dirección era un 2010 Ferrari Italia, con el número de matrícula K022YB190. El número de teléfono asociado con este registro — 79608229389 - es exactamente como el de Anna, solo que menos el (mis?) liderando "8". Ese número también está vinculado a una cuenta de Facebook ahora desaparecida y a las direcciones de correo electrónico nordexin@ya.ru y nordexin@icloud.com.

El Ferrari de Kulkov ha sido fotografiado en numerosas ocasiones a lo largo de los años por Aficionados a los coches rusos, incluida esta con la cara del conductor redactada por el fotógrafo:

El Ferrari propiedad de Denis Kulkov, visto en Moscú en 2016. Imagen: Migalki.net.

Como sugiere el título de esta historia, la parte difícil para las fuerzas del orden occidentales no es identificar a los ciberdelincuentes rusos que son los principales actores en la escena. Más bien, está encontrando formas creativas de capturar sospechosos de alto valor siempre y cuando abandonen la protección que Rusia generalmente extiende a los ciberdelincuentes nacionales dentro de sus fronteras que tampoco dañan a las empresas o consumidores rusos, ni interfieren con los intereses estatales.

Pero la guerra de Rusia contra Ucrania ha provocado que aparezcan grandes fallas en el subsuelo del cibercrimen: los sindicatos de ciberdelincuentes que anteriormente se extendían a ambos lados de Rusia y Ucrania con facilidad se vieron obligados a reevaluar a muchos camaradas que de repente trabajaban para el Otro Lado.

Muchos ciberdelincuentes que operaban con impunidad desde Rusia y Ucrania antes de la guerra optaron por huir de esos países después de la invasión, lo que brindó a las agencias policiales internacionales raras oportunidades de atrapar a los ciberdelincuentes más buscados. Uno de ellos fue Mark Sokolovsky, un ucraniano de 26 años que operaba el popular "Mapache"oferta de malware como servicio; Sokolovsky fue detenido en marzo de 2022 tras huir de las órdenes de servicio militar obligatorio de Ucrania.

También atrapado en la fuga el año pasado fue Vyacheslav" Tanque " Penchukov, un alto miembro ucraniano de un grupo transnacional de ciberdelincuencia que robó decenas de millones de dólares durante casi una década de innumerables empresas pirateadas. Penchukov fue arrestado después de salir de Ucrania para reunirse con su esposa en Suiza.