Ein russischer Staatsbürger bekannte sich am 7. Februar 2023 in den USA schuldig, Geldwäsche betrieben und versucht zu haben, die Herkunft der Gelder zu verschleiern, die er im Zusammenhang mit den Ransomware-Angriffen von Ryuk erhalten hatte.
Denis Mihaqlovic Dubnikov, 30, wurde im November 2021 in Amsterdam verhaftet, bevor er im August 2022 von den Niederlanden ausgeliefert wurde. Er wartet auf seine Verurteilung am 11. April 2023.
„Zwischen mindestens August 2018 und August 2021 haben Dubnikov und seine Mitverschwörer die Erlöse aus Ryuk-Angriffen auf Einzelpersonen und Organisationen in den USA und im Ausland gewaschen“, so das Justizministerium (Department of Justice, DoJ).
Dubnikov und seine Komplizen sollen in verschiedene kriminelle Machenschaften verwickelt gewesen sein, um die Spur der unrechtmäßig erworbenen Erlöse zu verwischen.
Laut DoJ wurde ein Teil des Lösegelds in Höhe von 250 Bitcoin, das ein US-Unternehmen im Juli 2019 nach einem Ryuk-Angriff gezahlt hatte, an Dubnikov geschickt, der dafür rund 400.000 Dollar erhielt. Die Kryptowährung wurde anschließend in Tether umgewandelt und an einen Mitverschwörer weitergeleitet, der sie dann gegen den chinesischen Renminbi eintauschte.
Insgesamt haben die an dem kriminellen Unternehmen beteiligten Parteien schätzungsweise mindestens 150 Millionen Dollar an Lösegeldzahlungen gewaschen.
Dubnikov ist außerdem Mitbegründer von Coyote Crypto und Eggchange, wobei letzteres seinen Sitz im Federation Tower East (oder Vostok) hat, einem Wolkenkratzer, der dafür bekannt ist, dass er mehrere Kryptowährungsunternehmen beherbergt, die Verbindungen zur Geldwäsche im Zusammenhang mit Ransomware-Operationen haben.
Laut Chainalysis hat Eggchange zwischen 2019 und 2021 Kryptowährungen im Wert von über 34 Millionen Dollar von Darknet-Märkten, Betrugsgeschäften und Ransomware-Betreibern erhalten.
Ryuk, das erstmals 2018 in der Bedrohungslandschaft auftauchte, wird einem Bedrohungsakteur mit dem Namen Wizard Spider zugeschrieben und hat Regierungen, Hochschulen, das Gesundheitswesen, Produktions- und Technologieunternehmen infiziert.
Ryuk wird oft durch Malware der ersten Stufe wie TrickBot oder BazarBackdoor verbreitet und ist auch ein Vorläufer der Conti-Ransomware, die im Mai 2022 ihren Betrieb einstellte und sich in kleinere Einheiten aufspaltete.