Um cidadão russo, em 7 de Fevereiro de 2023, confessou-se culpado nos Estados Unidos de acusações de branqueamento de capitais e de tentativa de ocultar a origem dos fundos obtidos em ligação com os ataques de resgate de Ryuk.
Denis Mihaqlovic Dubnikov, 30 anos, foi detido em Amesterdão, em Novembro de 2021, antes de ser extraditado da Holanda em Agosto de 2022. Aguarda a sentença de 11 de Abril de 2023.
“Entre pelo menos Agosto de 2018 e Agosto de 2021, Dubnikov e os seus co-conspiradores lavaram as receitas dos ataques de resgate de Ryuk a indivíduos e organizações em todos os Estados Unidos e no estrangeiro”, o Departamento de Justiça (DoJ) disse.
Dubnikov e os seus cúmplices terão participado em vários esquemas criminosos concebidos para obscurecer o rasto dos lucros obtidos ilegalmente.
Segundo o DoJ, um pedaço do resgate de 250 Bitcoin pago por uma empresa americana em Julho de 2019 após um ataque de Ryuk foi enviado para Dubnikov em troca de cerca de $400.000. O cripto foi subsequentemente convertido em Tether e transferido para um co-conspirador, que depois o trocou pelo renminbi chinês.
Em suma, estima-se que as partes envolvidas na empresa criminosa tenham procedido à lavagem pelo menos 150 milhões de dólares em pagamentos de resgate.
Dubnikov é também o co-fundador da Coyote Crypto and Eggchange, com sede na Federation Tower East (ou Vostok), um super arranha-céus conhecido por abrigar vários negócios de moeda criptográfica com ligações ao branqueamento de capitais associados a operações de resgate.
De acordo com Chainalysis, Eggchange recebido mais de 34 milhões de dólares de moedas criptográficas dos mercados escuros, burlas, lojas de fraude, e operadores de resgate entre 2019 e 2021.
Ryukque surgiu pela primeira vez na paisagem de ameaça em 2018, é atribuída a um agente de ameaça rastreado como Aranha Mágica e tem comprometido governos, academias, organizações de cuidados de saúde, de manufactura e de tecnologia.
Muitas vezes entregue através de malware de primeira fase como o TrickBot ou BazarBackdoor, Ryuk é também um precursor do Conti ransomware, que fechou as suas operações em Maio de 2022 e se dividiu em unidades mais pequenas.