El FBI desmanteló el foro de ciberdelincuencia RAMP, una plataforma clave para el comercio de malware y servicios de hacking. Destacaba por ser uno de los pocos espacios restantes que permitían abiertamente la promoción de operaciones de ransomware.
Tanto el sitio en la dark web como su dominio en la web pública (ramp4u[.]io) muestran ahora un aviso de incautación que indica: “El Buró Federal de Investigaciones (FBI) ha incautado RAMP“.
“Esta medida se ha tomado en coordinación con la Fiscalía de los Estados Unidos para el Distrito Sur de Florida y la Sección de Delitos Informáticos y Propiedad Intelectual del Departamento de Justicia”, detalla el anuncio oficial.
El banner de incautación parece mofarse de los administradores al mostrar el propio eslogan del foro: “¡EL ÚNICO LUGAR DONDE SE PERMITE EL RANSOMWARE!”, seguido de una imagen de Masha guiñando el ojo, de la popular serie animada rusa Masha y el Oso.
Aunque las autoridades no han emitido un comunicado de prensa detallado, los registros DNS de la plataforma fueron redirigidos a servidores utilizados habitualmente por la agencia en operativos similares (ns1.fbi.seized.gov y ns2.fbi.seized.gov).
Con este control, las fuerzas del orden ahora poseen una cantidad significativa de metadatos vinculados a los usuarios, incluyendo correos electrónicos, direcciones IP, mensajes privados y registros que podrían comprometer a sus miembros.
Para los actores de amenazas que descuidaron su seguridad operativa (OPSEC), este evento podría derivar en su identificación y arresto.
El origen de RAMP y el factor Mikhail Matveev
El foro RAMP surgió en julio de 2021, tras la prohibición de promocionar ransomware en comunidades como Exploit y XSS. Dicha restricción fue una respuesta a la presión internacional tras el ataque de DarkSide contra Colonial Pipeline.
La plataforma fue fundada por el actor de amenazas conocido como “Orange” (también alias Wazawaka o BorisElcin), exadministrador de la operación de ransomware Babuk.
Tras disputas internas por la filtración de datos de la Policía Metropolitana de Washington D.C., Orange utilizó la infraestructura previa de Babuk para lanzar RAMP.
Posteriormente, el periodista Brian Krebs identificó a Orange como el ciudadano ruso Mikhail Matveev. En entrevistas previas, Matveev admitió haber creado el foro para aprovechar el tráfico existente de su antiguo grupo, aunque afirmó que el sitio no generaba ganancias y sufría constantes ataques de denegación de servicio (DDoS).
En 2023, el Departamento de Justicia deEstados Unidos acusó formalmente a Matveev por su rol en operaciones de ransomware como LockBit y Hive, dirigidas a infraestructuras críticas y al sector salud.
Actualmente, figura en la lista de los más buscados del FBI con una recompensa de hasta $10 millones de dólares por información que facilite su captura.
