El FBI, junto con la Agencia Nacional contra el Crimen del Reino Unido y Europol, han expuesto extensas acusaciones y sanciones contra el administrador de la operación de ransomware LockBit, revelando por primera vez la identidad de este actor de amenazas ruso.
Según una reciente acusación del Departamento de Justicia de EE. UU. y un comunicado de la Agencia Nacional contra el Crimen (NCA), se ha confirmado que el operador de LockBit, conocido como 'LockBitSupp' y 'putinkrab', es Dmitry Yuryevich Khoroshev, un ciudadano ruso de 31 años de Voronezh, quien supuestamente acumuló 100 millones de dólares con las actividades del grupo.
Las sanciones impuestas por la Oficina de Asuntos Exteriores, Commonwealth y Desarrollo del Reino Unido, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE. UU., y el Departamento de Asuntos Exteriores y Comercio de Australia han sido anunciadas contra Dmitry Khoroshev. Khoroshev, también conocido como LockBitSupp, quien se benefició del anonimato y llegó a ofrecer una recompensa de 10 millones de dólares por información que revelara su identidad, ahora enfrentará congelaciones de activos y prohibiciones de viaje.
Las sanciones recién impuestas prometen causar interrupciones significativas en las operaciones de ransomware de LockBit, puesto que cualquier pago de rescate podría violar las sanciones e imponer multas a las empresas involucradas. En casos anteriores, sanciones similares han llevado a que algunos negociadores de ransomware dejen de asistir en los pagos por operaciones sancionadas.
Además, Estados Unidos ha ofrecido una recompensa de 10 millones de dólares por información que conduzca al arresto y/o condena de LockBitSupp, dentro del marco del programa Recompensas por la Justicia.
Las autoridades también han anunciado que, tras hackear e incautar la infraestructura de LockBit, han logrado obtener más claves de descifrado de las previamente anunciadas.
Cinco otros miembros de LockBit han sido acusados por el gobierno de Estados Unidos, incluidos Artur Sungatov, Ivan Kondratyev (Bassterlord), Ruslan Magomedovich Astamirov, Mikhail Matveev (Wazawaka) y Mikhail Vasiliev. De estos, Mikhail Vasiliev ya fue arrestado y condenado a cuatro años de prisión, mientras que Ruslan Astamirov se encuentra bajo custodia pendiente de juicio.
Conoce más sobre: Sitio de LockBit Reactivado: Nuevos Anuncios sobre Acciones Policiales
Lanzada en septiembre de 2019, la operación de ransomware LockBit, inicialmente conocida como "ABCD" y posteriormente renombrada, se estableció rápidamente como una prominente empresa criminal de ransomware-as-a-service (RaaS). La operación consistía en desarrollar y mantener el software de cifrado y las plataformas de negociación y fuga de datos en la red Tor, además de reclutar afiliados, denominados "anuncios", para infiltrarse en redes corporativas, robar datos y cifrar dispositivos.
En esta estructura, los operadores de LockBit retenían aproximadamente el 20% de cada rescate pagado, dejando el resto al afiliado responsable del ataque. LockBitSupp, ahora identificado como el ruso Khoroshev, era el operador público y lideraba la operación. A pesar de sus afirmaciones iniciales de operar desde China, su verdadera nacionalidad rusa no sorprendió a los expertos tras las últimas revelaciones.
LockBit se convirtió en una de las operaciones de ransomware más grandes y activas, con un continuo anuncio de nuevas víctimas a través del sitio de filtración de datos del grupo y alcanzando un total de 194 afiliados hasta febrero de 2024. Sin embargo, ese mismo mes, la banda sufrió un golpe devastador cuando la 'Operación Cronos', una acción policial, desmanteló la infraestructura de LockBit, incluyendo 34 servidores que albergaban tanto su sitio web de filtraciones como sus espejos y el panel de control de afiliados. Esta operación también permitió a las autoridades recuperar una gran cantidad de datos robados, direcciones de criptomonedas, claves de descifrado y extensa información sobre el grupo.
Inicialmente, se recuperaron 1000 claves de descifrado, pero recientes actualizaciones indican que se han obtenido 1500 claves adicionales, permitiendo a las autoridades continuar asistiendo a las víctimas de LockBit en la recuperación de sus archivos sin costo alguno. Según la Agencia Nacional contra el Crimen del Reino Unido, LockBit ha extorsionado aproximadamente mil millones de dólares a miles de empresas a nivel mundial, mientras que el Departamento de Justicia de EE. UU. estima que Khoroshev y sus afiliados han obtenido más de 500 millones de dólares en rescates.
Entre junio de 2022 y febrero de 2024, se registraron más de 7,000 ataques, afectando principalmente a Estados Unidos, Reino Unido, Francia, Alemania y China. A pesar de las acciones policiales, LockBit continúa activo, atacando nuevas víctimas y recientemente liberando una gran cantidad de datos robados. Sin embargo, la Operación Cronos ha provocado un éxodo significativo de afiliados, reduciendo el número de miembros activos de 194 a 69, lo que ha mermado la confianza en el liderazgo del grupo.
Te podrá interesar: LockBit: Resurgimiento después de la Interrupción Policial
Mientras LockBitSupp posiblemente busque tomar represalias filtrando más datos confidenciales, este acto podría ser visto como un último esfuerzo antes de que el grupo entre en sus días finales. Desde el surgimiento del primer ransomware moderno, ACCDFISA en 2012, y seguido por el infame CryptoLocker, ha habido una constante rotación de actores de amenazas que operan bajo diferentes nombres. Aunque la operación LockBit podría estar cerca de su fin, es probable que veamos a estos mismos actores resurgir bajo una nueva identidad en el futuro.