El autor de ‘LuminosityLink RAT’ se declara culpable

Un hombre de Kentucky de 21 años se declaró culpable de autor y distribución de una herramienta popular llamada “LuminosityLink“, una cepa de malware que según expertos en seguridad fue utilizada por miles de clientes para obtener acceso no autorizado a decenas de miles de computadoras en 78 países en todo el mundo.

Los fiscales federales dicen Colton Ray Grubbs de Stanford, Ky. Conspirado con otros para comercializar y distribuir el LuminosityLink RAT a un valor de $40 dolares. R emote A cceso T ool que hace que sea sencillo para los compradores para introducirse en los ordenadores para ver subrepticiamente documentos, fotografías y otros archivos en PC de la víctima. La RAT también permite a los usuarios ver lo que las víctimas escribieron en sus teclados, desactivar el software de seguridad y activar secretamente la cámara web en la computadora del objetivo.

Grubbs, que adoptó el seudónimo de “KFC Watermelon“, comenzó a vender la herramienta en mayo de 2015. A mediados de 2017 vendió LuminosityLink a más de 8.600 clientes, según Europol, la agencia de aplicación de la ley de la Unión Europea.

Las especulaciones de que Grubbs había sido arrestado comenzaron a surgir el año pasado después de que KFC Watermelon dejara de responder a las consultas de atención al cliente en Hackforums.net, el sitio web donde vendía principalmente su producto.

Grubbs, usando el sobrenombre de hacker “KFC Watermelon”, promocionó y vendió su RAT a través de Hackforums.net.

La venta y comercialización de herramientas de acceso remoto, también conocidas como herramientas de administración remota, no son ilegales en los Estados Unidos y, de hecho, existen muchas de esas herramientas vendidas por compañías legítimas para ayudar a los expertos en computadoras a administrar las computadoras de manera remota.

Sin embargo, estas herramientas tienden a ser vistos por los fiscales en cambio como “ Remote A cceso T rojans” cuando sus propietarios anuncian los programas como herramientas de hacking y la atención al cliente destinado a ayudar a los compradores a implementar las RAT sigilosamente y evitar ser detectados por los programas anti-malware.

Según la acusación contra él, Grubbs “reclutó y animó a los conspiradores a responder preguntas sobre Skype, un servicio de mensajería de Internet, de compradores potenciales y reales de LuminosityLink que buscan utilizar el software para obtener acceso no autorizado e indetectado a las computadoras de las víctimas y robar información”.

Vincular a Grubbs a LuminosityLink no era un gran obstáculo para los fiscales. Una presentación pública en la oficina del Secretario de Estado de Kentucky enumera a Grubbs como el propietario de Luminosity Security Solutions LLC .

Sin embargo, hay indicios de que Luminosity no fue la primera incursión de Grubbs en fabricar y vender herramientas de malware. Según una publicación de blog de febrero de 2018 de Palo Alto Networks , la cuenta de Skype conectada a la identidad de KFC Watermelon en Hackforums está vinculada a la dirección de correo electrónico “codyjohnson1337@live.com; esa cuenta de correo electrónico se utilizó en 2013 para registrar “plasmarat.pw”, una RAT similar que se vendió y comercializó en Hackforums.

La dirección de la calle enumerada por la oficina del Secretario de Estado de Kentucky para Luminosity Security Solutions (127 Circle Dr., Stanford, KY) aparece en los registros de registro originales de docenas de dominios, incluyendo al menos media docena que enumeraron temprano el correo electrónico dirección coltongrubbs@gmail.com . Esa misma dirección de correo electrónico aparece en los primeros registros de Barracudasec.com , un dominio que ya en 2012 se identificaba como un popular servidor de “comando y control” que muchos habitantes de Hackforums solían administrar remotamente un gran número de comandados remotamente. computadoras o “bots”.

Alrededor de la época en que KFC Watermelon dejó de responder a solicitudes de ayuda en Hackforums, los fiscales federales se declararon culpables en contra de Taylor Huddleston , un programador de 27 años de Arkansas que vendió la “RAT NanoCore“. Al igual que Grubbs, Huddleston inicialmente declaró no culpable de cargos de intrusión informática, argumentando que no era responsable de cómo los clientes usaban sus productos . Es decir, hasta que los fiscales presentaron los registros de Skype que muestran que Huddleston rutinariamente ayudó a los compradores a encontrar la manera de usar las herramientas para comprometer secretamente las computadoras remotas.

La declaración de culpabilidad de Grubbs bien podría conducir a nuevos arrestos y procesamientos de clientes que compraron y usaron LuminosityLink. Un  ejemplo : el autor del  troyano Blackshades , una vez una popular RAT vendida principalmente en Hackforums, fue arrestado junto con docenas de sus clientes en un operativo policial global en 2014.

Inicialmente, Grubbs se declaró inocente, y su juicio estaba programado para comenzar en Agosto. Pero en un acuerdo de declaración de culpabilidad emitido hoy, Grubbs admitió haber conspirado para fabricar y vender LuminosityLink, y para ayudar conscientemente a los clientes a utilizar su software para ingresar en las computadoras.

El acuerdo de culpabilidad señala que el 10 de julio de 2017, cuando Grubbs descubrió que el FBI estaba a punto de saquear su apartamento, ocultó la tarjeta de teléfono y débito vinculada a su cuenta de Bitcoin, y también retiró los discos duros de su computadora y apartamento antes de la búsqueda. “Tres días después, el Demandado transfirió más de 114 bitcoins de su dirección Bitcoin LuminosityLink a seis nuevas direcciones bitcoin”, indica el acuerdo.

Los cargos a los que Grubbs se ha declarado culpable incluyen castigos de hasta 25 años de prisión y hasta $ 750,000 en multas, aunque cualquier sentencia que el juez falle en este caso puede verse significativamente atenuada por las Pautas de Sentencias de EE. UU.

Una copia del acuerdo de declaración de culpabilidad está disponible aquí (PDF).

 

Fuente: https://krebsonsecurity.com/

Leave a Reply

%d bloggers like this: