El FBI confisca el dominio del foro clandestino de piratería RAMP

El Buró Federal de Investigaciones (FBI) ha confiscado los dominios de la red limpia y la red oscura de la plataforma clandestina RAMP. Esta plataforma sirve como foro de hackers y atiende a varios grupos involucrados en ransomware como servicio y otros ciberdelincuentes.

Si bien el FBI aún no ha emitido una declaración oficial al respecto, los dominios utilizados por el foro ahora muestran pancartas que dicen: "La Oficina Federal de Investigación ha incautado RAMP". Las pancartas señalan que la acción fue llevada a cabo por el FBI en coordinación con la Fiscalía del Distrito Sur de Florida y la Sección de Delitos Informáticos y Propiedad Intelectual del Departamento de Justicia.

El FBI desmantela un foro clandestino de piratería informática

RAMP, que originalmente significaba Russian Anonymous Marketplace (Mercado Anónimo Ruso), era un popular foro de la dark web que atendía principalmente a clientes de habla rusa dedicados al cibercrimen. Entre ellos se encontraban bandas de RaaS (Random-As-Service) y agentes de acceso inicial. El cierre también fue confirmado por un usuario llamado "Stallman", quien parece ser uno de los propietarios de RAMP, según una publicación del foro de hacking XSS traducida del ruso y compartida en la plataforma de blogs X.

“Con pesar, les informo que las fuerzas del orden han tomado el control del foro Ramp. Este suceso destruyó años de mi trabajo para crear el foro más libre del mundo, y aunque esperaba que este día nunca llegara, en el fondo siempre entendí que era posible. Este es el riesgo que todos corremos”, dice la publicación. También añadió que, aunque ya no controlará Ramp, no tiene intención de crear otra plataforma desde cero.

Stallman también añadió que continuará con su negocio de compra de accesos, señalando que su actividad principal permanece inalterada. "Si tiene algo que ofrecerme, las condiciones están en mi firma. Envíeme un mensaje privado y lo intercambiaremos por Jabber/Tox", añadió. Además de ofrecer un foro para actividades de ransomware, el sitio era una plataforma para que grupos conocidos como LockBit, Qilin, RansomHub, ALPHV/BlackCat y DragonForce promocionaran sus servicios.

El sitio web también incluía varios grupos de discusión donde los usuarios publicaban tutoriales sobre ciberataques. Al hablar sobre el desmantelamiento, Ben Clarke, gerente de SOC en CybaVerse, explicó que el éxito de la plataforma se debió a que los hackers pudieron acceder a toda la cadena de ataque. Esto significa que los usuarios pueden acceder a servicios que van desde la compra dedentrobadas hasta la promoción de malware y la compraventa de otros servicios.

¿Qué tan efectivas son estas eliminaciones?

Clarke mencionó que, si bien la eliminación afectará la actividad delictiva por un tiempo, el impacto a largo plazo podría ser mínimo. "Cualquier medida que interrumpa esta actividad es un paso positivo para los defensores. Pero sería ingenuo creer que tendrá un impacto tangible en la ciberdelincuencia", afirmó. "Se formarán nuevos mercados para reemplazar a RAMP, mientras que los actores de amenazas recurrirán a otras plataformas para comprar y vender servicios"

En los últimos años, las fuerzas del orden han obtenido resultados dispares en sus operaciones de desmantelamiento de redes de bots. Si bien se llevan a cabo desmantelamientos, estas plataformas suelen reactivarse, como ocurrió con el desmantelamiento de la red de bots Emotet en 2022. La plataforma resurgió con fuerza. Sin embargo, esto no significa que estas operaciones no funcionen, según Daniel Wilcock, analista de amenazas de Talion, quien señala que el desmantelamiento de redes sigue siendo la mejor táctica para que las fuerzas del orden frenen ciberdelictivas y obtengan información vital.

“Si bien esto no significa el fin del ransomware, las fuerzas del orden podrán obtener información valiosa de la incautación sobre los cibercriminales que utilizan los servicios, como sus correos electrónicos y direcciones IP, además de acceder a las transacciones financieras realizadas en el mercado”, afirmó. “Esto podría impulsar nuevas medidas policiales contra los cibercriminales que utilizaron el sitio, pero dado que RAMP fue ampliamente utilizado por delincuentes rusos, es muy improbable que se produzcan muchas detenciones”