(https://i.imgur.com/j65ee1J.jpeg)
El Buró Federal de Investigación (FBI) ha tomado el control del infame foro de ciberdelincuencia RAMP, una plataforma ampliamente utilizada para la publicidad de servicios de malware, hacking y operaciones de ransomware. RAMP era considerado uno de los pocos foros que aún permitía abiertamente la promoción de campañas de ransomware, convirtiéndose en un punto neurálgico para bandas criminales y afiliados que operaban principalmente en el cibercrimen de habla rusa.
Tanto el sitio accesible a través de la red Tor como su dominio clearnet, ramp4u[.]io, muestran ahora un aviso oficial de incautación que indica de forma explícita: "El Buró Federal de Investigación ha incautado RAMP". El mensaje señala que la operación se llevó a cabo en coordinación con la Fiscalía de los Estados Unidos para el Distrito Sur de Florida y con la Sección de Delitos Informáticos y Propiedad Intelectual del Departamento de Justicia (DOJ).
Un mensaje con tono irónico para los operadores criminalesEl banner de incautación no solo confirma la acción de las fuerzas del orden, sino que también se burla abiertamente de los operadores del foro. En él aparece el propio eslogan de RAMP, "¡EL ÚNICO LUGAR PERMITIDO POR RANSOMWARE!", acompañado de un guiño de ojo del popular personaje de la caricatura rusa infantil "Masha y el Oso". Este detalle sugiere una intención clara de enviar un mensaje psicológico a la comunidad criminal que utilizaba la plataforma.
Aunque hasta el momento no se ha publicado un comunicado oficial detallado, varios indicadores técnicos refuerzan la legitimidad de la incautación. Los servidores de nombres de dominio (DNS) del foro han sido modificados y ahora apuntan a la infraestructura utilizada habitualmente por el FBI en operaciones de este tipo, incluyendo:
- ns1.fbi.seized.gov
- ns2.fbi.seized.gov
Riesgo extremo para los usuarios del foroSi la incautación se confirma en su totalidad, las fuerzas del orden estadounidenses tendrían acceso a una cantidad masiva de datos sensibles vinculados a los usuarios de RAMP. Esto podría incluir direcciones de correo electrónico, direcciones IP, mensajes privados, registros de actividad y otra información potencialmente incriminatoria.
Para los actores amenazantes que no mantuvieron una seguridad operativa (OPSEC) estricta, esta situación representa un riesgo significativo de identificación, investigación y arrestos. Históricamente, este tipo de incautaciones ha dado lugar a operaciones encubiertas posteriores, análisis forense de comunicaciones y la identificación de redes criminales más amplias.
Origen y evolución del foro RAMPEl foro de ciberdelincuencia RAMP fue lanzado en julio de 2021, poco después de que los populares foros de hackeo de habla rusa Exploit y XSS prohibieran la promoción de operaciones de ransomware. Esta prohibición se produjo como consecuencia directa del aumento de la presión de las fuerzas del orden occidentales, especialmente tras el ataque de ransomware de DarkSide contra Colonial Pipeline, un incidente que afectó a infraestructura crítica de Estados Unidos.
Ante este nuevo escenario, surgió RAMP como uno de los últimos espacios donde el ransomware podía promocionarse sin restricciones. Esto atrajo rápidamente a bandas de ransomware, intermediarios de acceso inicial (IAB) y reclutadores de afiliados, que utilizaron el foro para comprar y vender accesos a redes comprometidas, negociar pagos y coordinar campañas.
El papel de "Orange" y los vínculos con BabukRAMP fue creado por un actor amenazante conocido como Orange, que también operaba bajo los alias Wazawaka y BorisElcin. Orange fue anteriormente el administrador de la operación de ransomware Babuk, que se disolvió tras su ataque al Departamento de Policía Metropolitana de Washington D.C.
Según informes, surgieron disputas internas dentro de Babuk sobre la publicación de datos robados a fuerzas del orden. Tras la filtración de esa información, el grupo se fragmentó, y Orange reutilizó la infraestructura de Tor de Babuk para lanzar RAMP en un dominio onion previamente empleado por la banda.
Ataques DDoS y decadencia del foroPoco después de su lanzamiento, RAMP comenzó a sufrir ataques de denegación de servicio distribuida (DDoS) que afectaron seriamente su disponibilidad. Orange culpó públicamente a antiguos socios de Babuk, aunque estos negaron cualquier implicación, afirmando que no tenían interés en sabotear el foro.
Con el tiempo, la popularidad de RAMP disminuyó, en parte debido a estos ataques constantes y a la falta de rentabilidad, según reconoció posteriormente su creador.
Identificación de Mijaíl Matveev y acciones legalesEl individuo detrás de los alias Orange y Wazawaka fue identificado públicamente por el periodista de ciberseguridad Brian Krebs como el ciudadano ruso Mijaíl Matveev. En una entrevista con Recorded Future, Matveev confirmó haber creado RAMP reutilizando el antiguo dominio onion de Babuk.
En 2023, Matveev fue acusado formalmente por el Departamento de Justicia de EE. UU. por su participación en múltiples operaciones de ransomware, incluyendo Babuk, LockBit y Hive, dirigidas contra organizaciones sanitarias, agencias gubernamentales e infraestructuras críticas. Además, fue sancionado por la OFAC, incluido en la lista de los más buscados del FBI, y el Departamento de Estado ofreció una recompensa de hasta 10 millones de dólares por información que condujera a su arresto o condena.
En fin...La incautación del foro RAMP representa un golpe estratégico contra el ecosistema del ransomware y refuerza el mensaje de que incluso las plataformas consideradas "seguras" dentro del cibercrimen no están fuera del alcance de las fuerzas del orden. Para la comunidad de ciberseguridad, este evento subraya la importancia de la cooperación internacional, el seguimiento de infraestructuras criminales y la presión constante sobre los mercados que facilitan ataques a gran escala.
Fuente: https://www.bleepingcomputer.com/