Peter Yuryevich Levashov, un programador de computadoras ruso de 37 años, acusado por el FBI de desarrollar la botnet Kelihos y usarla para inundar bandejas de entrada con correo no deseado de Viagra y Cialis; de robar billeteras bitcoin y otros datos financieros; y de distribuir malware, incluidos troyanos bancarios y ransomware en todo el mundo, ha sido deportado de España a la ciudad estadounidense de New Haven, Connecticut. 

El Departamento de Justicia de los EE. UU. anunció la extradición el viernes. En su comunicado de prensa, el Departamento de Justicia dijo que además del correo no deseado, el malware y la recolección de información personal de las víctimas, Levashov supuestamente también alquiló servicios de malware y spam de bots de Kelihos.

Levashov supuestamente se escondió detrás de los nombres de los piratas informáticos Petr Levashov, Peter Severa, Petr Severa y Sergey Astakhov para hacer el trabajo sucio.

En abril del 2017, el Departamento de Justicia de los Estados Unidos acusó a Levashov de un cargo por dañar una computadora protegida, conspirar, acceder a computadoras protegidas para cometer fraude, fraude electrónico, robo de identidad agravado y amenazar con dañar una computadora protegida; más dos cargos de fraude en relación con el correo electrónico.

Había sido arrestado en Barcelona mientras estaba de vacaciones con su familia ese mismo mes.

En marzo del 2010, Microsoft, en colaboración con otros investigadores de seguridad, fue tras otra botnet llamada Waledac con una combinación de maniobras legales y técnicas de eliminación. (Recientemente, Microsoft volvió a utilizar los tribunales, enviando abogados para luchar contra el probable grupo pirata informático ruso conocido como Strontium, Fancy Bear o APT28. Consistía en apoderarse de los dominios que alojaban los sitios de phishing utilizados para robar credenciales o para el comando y control de botnets).

Microsoft utilizó las mismas técnicas de eliminación con la botnet Kelihos, que compartió una gran cantidad de código con Waledac.

Según la acusación, Levashov supuestamente se esforzó por proteger su anonimato.

No intentó lo suficiente. Supuestamente usó el alias Severa para ejecutar la botnet Kelihos, pero los registros judiciales muestran que los investigadores estaban vigilando su cuenta iCloud desde mayo del 2016. Según la acusación de la orden de búsqueda, los registros del servidor, los mensajes instantáneos cifrados de Jabber y los pagos en línea llevaron a los investigadores a Levashov.

Levashov aparentemente había usado dos servidores, ubicados en Luxemburgo, que estaban vinculados a Kelihos. Uno fue aparentemente utilizado como un proxy, mientras que el otro fue utilizado como un back-end para proporcionar actualizaciones de estado en las botnets. Cuando las autoridades incautaron los servidores, que se encontraban en Luxemburgo, encontraron frecuentes inicios de sesión en la cuenta mail.ru de Levashov.

En el servidor de back-end, los investigadores también localizaron correos electrónicos no deseados, como "Muy buena manera de revelar su vida íntima", "Ataque a su mujer más duro" y "No hay riesgo de falla amorosa". Otros encabezados temáticos burlándose y estafas de manipulacióno como "¡Esta empresa parece lista para una carrera importante esta semana!" y "¡Está a punto de despertar y RUGIR!"

Los investigadores también encontraron una cuenta de iCloud registrada a nombre de Levashov, desde una dirección IP que a menudo se había conectado al servidor de Luxemburgo. Eso es lo que buscaba la acusación: información que incluye "direcciones IP de inicio de sesión asociadas con las horas y fechas de la sesión" que podrían asociarse con supuestos inicios de sesión de Levashov a cuentas conectadas a botnets.

El mismo día en que se presentó la acusación, un tribunal otorgó una orden de cateo, Apple fue puesta bajo una orden que le impidió compartir información sobre el caso, y la investigación se suspendió hasta que Levashov se encontrara en un país del cual podría ser extraditado.

Eso es exactamente lo que sucedió cuando fue arrestado en España a pedido de las fuerzas del orden de los EE. UU. Es probable que los datos de iCloud, que muestran una pestaña en ejecución de las direcciones IP utilizadas para iniciar sesión en la cuenta, hayan dado a los investigadores el aviso de que estaba en España de vacaciones.

Levashov fue procesado el viernes.

Estén atentos a este caso: como informa el periodista de seguridad Brian Krebs, Levashov supuestamente trabajó estrechamente con otros spammers. Si se declara culpable, su arresto podría llevar a revelar sus identidades.

Artículos relacionados:

• Botnets
• Botnet vigilante gana dispositivos antes de que Mirai lo haga
• Hackers se declaran culpables de crear la Botnet Mirai DDoS basada en IoT