La Agencia Nacional contra el Crimen (NCA) del Reino Unido ha desenmascarado al administrador y desarrollador de la operación de ransomware LockBit, revelando que se trata de un ciudadano ruso de 31 años llamado Dmitri Yuryevich Khoroshev.
Además, Khoroshev ha sido sancionado por la Oficina de Asuntos Exteriores, Commonwealth y Desarrollo (FCD) del Reino Unido, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos y el Departamento de Asuntos Exteriores de Australia.
Europol, en un Comunicado de prensadijo que las autoridades están en posesión de más de 2500 claves de descifrado y continúan contactando a las víctimas de LockBit para ofrecerles apoyo.
Khoroshev, conocido con los apodos LockBitSupp y putinkrab, también se ha convertido en objeto de congelaciones de activos y prohibiciones de viaje, y el Departamento de Estado de Estados Unidos ofrece una recompensa de hasta 10 millones de dólares por información que conduzca a su arresto y/o condena.
Anteriormente, la agencia había Anunciado ofertas de recompensa de hasta $ 15 millones que buscan información que conduzca a la identidad y ubicación de líderes clave del grupo variante de ransomware LockBit, así como información que conduzca a los arrestos y/o condenas de los miembros del grupo.
Al mismo tiempo, una acusación revelada por el Departamento de Justicia (DoJ) ha cargado Khoroshev por 26 cargos, incluido un cargo de conspiración para cometer fraude, extorsión y actividades relacionadas con computadoras; un cargo de conspiración para cometer fraude electrónico; ocho cargos de daño intencional a una computadora protegida; ocho cargos de extorsión en relación con información confidencial de una computadora protegida; y ocho cargos de extorsión en relación con daños a una computadora protegida.
En total, los cargos conllevan una pena máxima de 185 años de prisión. Cada uno de los cargos conlleva además una pena monetaria que es mayor entre 250.000 dólares, una ganancia pecuniaria para el infractor o un daño pecuniario para la víctima.
Con la última acusación, un total de seis miembros afiliados a la conspiración LockBit han sido acusados, entre ellos Mijaíl Vasiliev, Mijail Matveev, Ruslan Magomedovich Astamirov, Artur Sungatov e Ivan Kondratyev.
«El anuncio de hoy pone otro gran clavo en el ataúd de LockBit y nuestra investigación continúa», dijo el director general de la NCA, Graeme Biggar. dicho. «Ahora también estamos apuntando a afiliados que han utilizado los servicios de LockBit para infligir devastadores ataques de ransomware en escuelas, hospitales y empresas importantes de todo el mundo».
LockBit, que era uno de los grupos de ransomware como servicio (RaaS) más prolíficos, fue desmantelado como parte de una operación coordinada Apodado Cronos a principios de febrero. Se estima que se dirigió a más de 2.500 víctimas en todo el mundo y recibió más de 500 millones de dólares en pagos de rescate.
«LockBit ransomware se ha utilizado contra empresas australianas, británicas y estadounidenses, lo que representa el 18% del total de incidentes de ransomware australianos reportados en 2022-23 y 119 víctimas reportadas en Australia», Penny Wong, Ministra de Relaciones Exteriores de Australia, dicho.
Bajo el modelo de negocio RaaS, LockBit otorga licencias de su software de ransomware a afiliados a cambio de una reducción del 80% de los rescates pagados. El grupo de delitos electrónicos también es conocido por sus tácticas de doble extorsión, en las que se extraen datos confidenciales de las redes de las víctimas antes de cifrar los sistemas informáticos y exigir el pago de un rescate.
Se cree que Khoroshev, que inició LockBit alrededor de septiembre de 2019, ha obtenido al menos 100 millones de dólares en desembolsos como parte del plan durante los últimos cuatro años.
«El verdadero impacto de la criminalidad de LockBit se desconocía anteriormente, pero los datos obtenidos de sus sistemas mostraron que entre junio de 2022 y febrero de 2024, se crearon más de 7.000 ataques utilizando sus servicios», dijo la NCA. «Los cinco países más afectados fueron Estados Unidos, Reino Unido, Francia, Alemania y China».
LockBit’s intenta resurgir después de que la acción policial haya sido fracasado en el mejor de los casoslo que lo llevó a publicar víctimas antiguas y falsas en su nuevo sitio de filtración de datos.
«LockBit ha creado un nuevo sitio de filtración en el que han inflado la actividad aparente al publicar a las víctimas atacadas antes de que la NCA tomara el control de sus servicios en febrero, además de atribuirse el mérito de los ataques perpetrados utilizando otras cepas de ransomware», señaló la agencia.
Se estima que el esquema RaaS abarcó a 194 afiliados hasta el 24 de febrero, de los cuales 148 realizaron ataques y 119 participaron en negociaciones de rescate con las víctimas.
«De los 119 que iniciaron negociaciones, hay 39 que aparentemente nunca recibieron el pago de un rescate», señaló la NCA. «Setenta y cinco no participaron en ninguna negociación, por lo que tampoco parecen haber recibido ningún pago de rescate».
Desde entonces, el número de afiliados activos de LockBit se redujo a 69, dijo la NCA, agregando que LockBit no eliminaba rutinariamente los datos robados una vez que se pagaba el rescate y que descubrió numerosos casos en los que el descifrador proporcionado a las víctimas no funcionó como se esperaba.
«Como líder central del grupo LockBit y desarrollador del ransomware LockBit, Khoroshev ha desempeñado una variedad de funciones operativas y administrativas para el grupo de delitos cibernéticos y se ha beneficiado financieramente de los ataques del ransomware LockBit», dijo el Departamento del Tesoro de EE.UU. dicho.
«Khoroshev ha facilitado la actualización de la infraestructura de LockBit, ha reclutado nuevos desarrolladores para el ransomware y ha gestionado las filiales de LockBit. También es responsable de los esfuerzos de LockBit para continuar con las operaciones después de su interrupción por parte de Estados Unidos y sus aliados a principios de este año».