AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

El Tesoro de EE.UU. sanciona a Grinex, sucesor de Garantex, por facilitar el lavado de fondos de ransomware

admin

Introducción

El Departamento del Tesoro de Estados Unidos ha intensificado su ofensiva contra el ecosistema financiero ilícito vinculado al cibercrimen, anunciando el 28 de junio de 2024 nuevas sanciones a la plataforma de intercambio de criptomonedas Grinex. Esta medida se produce tras la constatación de que Grinex opera como sucesor directo de Garantex, una exchange rusa previamente sancionada en 2022 por facilitar el blanqueo de capitales procedentes de grupos de ransomware. La decisión subraya la creciente preocupación de los organismos reguladores internacionales por el papel de las criptomonedas en la economía sumergida del cibercrimen, especialmente en lo relativo al ransomware dirigido a infraestructuras críticas y el sector empresarial occidental.

Contexto del Incidente

Garantex fue sancionada en abril de 2022 por la Oficina de Control de Activos Extranjeros (OFAC) del Tesoro estadounidense tras descubrirse que la plataforma era utilizada de forma sistemática para lavar ingresos ilícitos generados por operaciones de ransomware. El exchange, con sede en Moscú, habría movido más de 100 millones de dólares en transacciones sospechosas, incluyendo pagos a grupos como Conti, Ryuk y otros actores alineados con intereses rusos.

Tras el cierre y el bloqueo de Garantex en la mayoría de mercados internacionales, surgió Grinex, que heredó infraestructura, personal y carteras de usuarios de su predecesora, operando bajo un modelo similar y centrándose en el procesamiento de criptoactivos de origen dudoso. Las autoridades estadounidenses han identificado a Grinex como un nodo clave en la cadena de blanqueo de fondos obtenidos mediante ataques de ransomware, phishing y fraude financiero.

Detalles Técnicos

La actividad de Grinex y, anteriormente, de Garantex, se centra en la canalización de pagos en criptomonedas —principalmente Bitcoin, Ethereum y Tether— mediante técnicas de “mixing” y “tumbling” para dificultar el rastreo de los fondos. Según informes de Chainalysis y Elliptic, más del 60% de los fondos recibidos por Grinex en el primer semestre de 2024 procedían de wallets asociadas con operaciones de ransomware y mercados darknet.

Los ataques vinculados a estos fondos se corresponden con los TTPs (Tactics, Techniques and Procedures) catalogados en el framework MITRE ATT&CK bajo los apartados TA0040 (Impacto) y TA0009 (Recopilación), identificándose cadenas completas que incluyen el despliegue de ransomware, exfiltración de datos (T1567.002), extorsión doble y posterior blanqueo a través de exchanges poco regulados.

Entre los indicadores de compromiso (IoC) destacados por las autoridades se incluyen direcciones de Bitcoin asociadas a Grinex, hashes de transacciones y patrones de movimiento de fondos que siguen rutas similares a las identificadas en operaciones de Garantex. Se han detectado también exploits que aprovechan la falta de KYC/AML en la plataforma, así como la integración con herramientas como Metasploit para el despliegue automatizado de ransomware y la utilización de Cobalt Strike para la persistencia y el movimiento lateral en entornos comprometidos.

Impacto y Riesgos

La persistencia de exchanges como Grinex supone una amenaza significativa para la ciberseguridad empresarial y la resiliencia financiera internacional. Según la Financial Crimes Enforcement Network (FinCEN), aproximadamente el 40% de los rescates pagados por ransomware en 2023 acabaron en exchanges rusos o de jurisdicciones laxas, dificultando la recuperación de activos y la detención de los actores implicados.

El uso de estos servicios por parte de grupos como LockBit, BlackCat/ALPHV y Cl0p ha permitido la monetización de ciberataques de alto impacto, incluyendo incidentes que han generado pérdidas superiores a los 500 millones de dólares durante el último año. Además, la opacidad y la falta de controles regulatorios de Grinex incrementan el riesgo de exposición para empresas sujetas a normativas como GDPR, NIS2 y la Ley de Protección de Infraestructuras Críticas.

Medidas de Mitigación y Recomendaciones

Las empresas deben reforzar sus políticas de gestión de incidentes y respuesta ante ransomware, incluyendo la monitorización proactiva de wallets y direcciones asociadas a exchanges sancionados. Se recomienda utilizar soluciones de threat intelligence capaces de identificar IoCs publicados por OFAC y otras agencias, así como implementar controles de salida en cortafuegos y proxies para bloquear conexiones a servicios de mixing y plataformas no reguladas.

A nivel organizativo, es crucial actualizar los procedimientos de onboarding de proveedores de servicios de pago y exigir comprobaciones exhaustivas de KYC/AML. En caso de incidentes, la notificación a las autoridades (INCIBE, CCN-CERT) debe realizarse de forma inmediata, y se desaconseja el pago de rescates en cualquier circunstancia, dado el riesgo de incurrir en sanciones secundarias por financiar actividades ilícitas.

Opinión de Expertos

Expertos en ciberinteligencia consultados por BleepingComputer y fuentes de la industria apuntan que el cierre de Garantex y la sanción a Grinex son “medidas necesarias pero no suficientes”, dado el dinamismo del ecosistema de cibercrimen ruso. “Mientras existan jurisdicciones que toleren estos modelos de negocio, el problema persistirá”, señala Dmitri Alperovitch, cofundador de CrowdStrike. Otros analistas advierten de que, tras cada cierre, aparecen nuevos actores o plataformas “clon” dispuestas a ocupar su lugar.

Implicaciones para Empresas y Usuarios

La sanción a Grinex refuerza la importancia de la debida diligencia en la gestión de activos digitales y subraya la necesidad de una vigilancia continua sobre las plataformas con las que se interactúa. Las empresas que operen en mercados internacionales deben revisar sus flujos de pago y exposición a criptoactivos, ante el riesgo de sanciones y pérdida reputacional. Para los usuarios individuales, aumenta la probabilidad de que fondos o activos sean congelados si han transitado por wallets o exchanges de alto riesgo.

Conclusiones

El caso Grinex refleja la complejidad de la lucha contra el blanqueo de capitales en el entorno cripto y la necesidad de una colaboración internacional más efectiva. La acción del Tesoro de EE.UU. pone de relieve el papel central de los exchanges opacos en la economía del ransomware y presiona a otros países a reforzar sus marcos regulatorios y de cooperación policial. Para el sector, supone un recordatorio de la importancia de integrar inteligencia de amenazas y cumplimiento normativo en la estrategia global de ciberseguridad.

(Fuente: www.bleepingcomputer.com)