Hacker ruso juzgado en EE.UU. se declara culpable de haber creado y distribuido el troyano Citadel

Un hacker ruso ha admitido su participación en la creación del troyano Citadel y asumido su responsabilidad legal por los daños causados. El programa malicioso está diseñado para robar información bancaria de internautas y secuestrar los datos de sus víctimas hasta recibir un rescate, y el rol del hacker en la creación y distribución de esta amenaza podría condenarlo a hasta 10 años de prisión.

Mark Vartanyan, de 29 años, es un programador ruso que era buscado por autoridades internacionales por haber creado el programa malicioso Citadel, que se distribuyó en 11 millones de equipos de todo el mundo. Las autoridades estadounidenses se movilizaron para encontrar y extraditar a Vartanyan por los daños causados en su territorio, hasta que lo arrestaron el año pasado en Noruega y lo extraditaron a Estados Unidos en diciembre.

Citadel es una variante del conocido troyano bancario ZeuS. Cuando el código fuente de ZeuS se filtró en 2011, nació Citadel y se comenzó a distribuir en los foros cibercriminales de Rusia. Al principio solo estaba disponible para aquellos usuarios que recibían una invitación para utilizarlo, pero con el tiempo la amenaza se fue expandiendo y se utilizó para atacar las redes informáticas de importantes instituciones financieras y gubernamentales de todo el mundo.

Citadel fue uno de los primeros ejemplos que se conocen de malware como servicio, en el que los creadores ofrecían asistencia a sus clientes y ofrecían complementos para venderlo, imitando así el modelo de negocio de las compañías de legítimas de la industria.

Las autoridades calculan que el programa malicioso ha infectado un total de 11 millones de equipos en todo el mundo y causado más de 500 millones de dólares en pérdidas, por las que Vartanyan ahora deberá responsabilizarse.

Vartanyan admitió que había creado el código del programa y se había hecho cargo de su distribución durante sus primeros años, entre 2012 y 2014. También se encargaba de mantenerlo en funcionamiento con constantes actualizaciones y parches. El hacker vivía en Ucrania y Noruega y utilizaba el seudónimo Kolypto para realizar sus operaciones criminales.

Estados Unidos lo rastreó hasta Noruega y logró su extradición en diciembre. Solo 3 meses después, el hombre de 29 años se declaró culpable de un cargo de fraude informático que lo podría poner tras las rejas por hasta 10 años y cobrarle una multa de 250.000 dólares. La sentencia máxima fue rebajada por su colaboración con las autoridades al declararse culpable: de haber ido a juicio, la sentencia máxima habría sido de 25 años.

Vartanyan es parte de un equipo de desarrolladores de Citadel. El año pasado, su cómplice Dimitry Belorossov recibió una sentencia de 54 meses en prisión dictada por un juez estadounidense por haber estado a cargo de las operaciones del servidor de comando y control del programa. El FBI sigue rastreando a los demás miembros del grupo mientras Vartanyan espera su sentencia que se dará a conocer en junio en un juzgado de Atlanta.

Fuentes:
Russian Man Pleads Guilty for Role in Citadel Malware Attacks
Russian mastermind of $500m bank-raiding Citadel coughs to crimes
Russian man pleads guilty over $500m malware scam