Lo anterior se desprende de un informe publicado por las empresas de seguridad cibernética Advanced Intelligence y HYAS, que aseguran haber identificado un total de 61 direcciones de Bitcoin asociadas a los operadores de Ryuk.
“Ryuk recibe una cantidad significativa de los pagos de sus extorsiones mediante un conocido corredor que gestiona las transacciones”, dice el informe. “Estos pagos a veces ascienden a millones de dólares y suelen oscilar entre los cientos de miles”.
De acuerdo con un informe de ZDNet, los criminales usan los fondos para financiar nuevas campañas criminales, o simplemente los cobran. Sin embargo, cobrar no es tan fácil, ya que la venta de criptodivisas en las bolsas se ha vuelto más difícil gracias a la legislación AML (Anti Money Laundering, o antilavado de dinero) y KYC (Know Your Customer, o conozca a su cliente).
Se sabe que los delincuentes utilizan bolsas más pequeñas para vender criptodivisas, algunas de las cuales tienen una implementación KYC menos estricta. Los operadores de Ryuk, por otra parte, han utilizado supuestamente dos de las bolsas de criptodivisas más populares del mundo: Binance y Huobi. Los investigadores dicen que lo más probable es que hayan usado identidades robadas para pasar las pruebas de KYC.
Aunque Ryuk es considerado el ransomware más lucrativo, está lejos de ser la variante más propagada. REvil, Maze y Egregor también han sido muy activos, según consta en recientes informes de empresas de seguridad informática.