La policía de EE. UU. y del Reino Unido identifican y acusan al líder ruso de la banda de ransomware LockBit
Finalmente se ha revelado la identidad del líder de uno de los grupos de ransomware más infames de la historia.
El martes, una coalición de fuerzas del orden dirigida por la Agencia Nacional contra el Crimen del Reino Unido anunció que el nacional ruso, Dmitry Yuryevich Khoroshev, de 31 años, es la persona detrás del seudónimo LockBitSupp, el administrador y desarrollador del ransomware LockBit. El Departamento de Justicia de EE. UU. también anunció la acusación contra Khoroshev, acusándolo de delitos informáticos, fraude y extorsión.
“Hoy damos un paso más, acusando al individuo que supuestamente desarrolló y administró este malicioso esquema cibernético, que ha afectado a más de 2,000 víctimas y ha robado más de $100 millones en pagos de ransomware,” citó al Fiscal General Merrick B. Garland en el anuncio.
Según el DOJ, Khoroshev es de Vorónezh, una ciudad en Rusia, a unas 300 millas al sur de Moscú.
“Dmitry Khoroshev concibió, desarrolló y administró Lockbit, la variante y grupo de ransomware más prolífico del mundo, permitiéndose a sí mismo y a sus afiliados causar estragos y causar miles de millones de dólares en daños a miles de víctimas en todo el mundo,” dijo el Fiscal de los EE. UU. Philip R. Sellinger para el Distrito de Nueva Jersey, donde Khoroshev fue acusado.
La coalición de fuerzas del orden anunció la identidad de LockBitSupp en comunicados de prensa, así como en el sitio web oscuro original de LockBit, que las autoridades confiscaron a principios de este año. En el sitio, el Departamento de Estado de EE. UU. anunció una recompensa de $10 millones por información que pudiera ayudar a las autoridades a arrestar y condenar a Khoroshev.
El gobierno de EE. UU. también anunció sanciones contra Khoroshev, que efectivamente impide que alguien haga transacciones con él, como las víctimas que pagan un rescate. Sancionar a las personas detrás del ransomware hace que sea más difícil que se lucren de los ciberataques. Violar las sanciones, incluido pagar a un hacker sancionado, puede resultar en fuertes multas y enjuiciamiento.
LockBit ha estado activo desde 2020 y, según la agencia de ciberseguridad de EE. UU. CISA, la variante de ransomware del grupo fue “la más desplegada” en 2022.
Europol, que participó en la operación de fuerzas del orden, dijo en un comunicado que las autoridades ahora tienen más de 2,500 claves de descifrado que pueden ayudar a las víctimas a desbloquear los datos previamente encriptados por la banda.
La NCA publicó una infografía en el sitio web confiscado de LockBit, que incluía estadísticas sobre las actividades de LockBit. Según los datos, el grupo se dirigió a más de 100 hospitales, empresas y centros de atención médica, incluido un hospital infantil. En ese caso, LockBit dijo que el ataque fue un error y que bloquearía al “socio” responsable del ataque y proporcionaría las claves de descifrado para desbloquear los archivos. Sin embargo, según la NCA, “eso fue mentira”, ya que el socio siguió activo y las claves de descifrado “no funcionaban correctamente”.
La NCA, por su parte, invitó a Khoroshev a ponerse en contacto si disputa sus conclusiones. “¿Te gustaría hacer esto en persona?” dijo la NCA.
El domingo, la coalición de fuerzas del orden restauró el sitio web oscuro de LockBit confiscado para publicar una lista de publicaciones que pretendían insinuar las últimas revelaciones. En febrero, las autoridades anunciaron que tomaron el control del sitio de LockBit y reemplazaron las publicaciones de los hackers con sus propias publicaciones, que incluían un comunicado de prensa y otra información relacionada con lo que la coalición llamó “Operación Cronos”.
Poco después, LockBit pareció regresar con un nuevo sitio y una nueva lista de presuntas víctimas, que se estaba actualizando hasta el lunes, según un investigador de seguridad que sigue al grupo.
Durante semanas, el líder de LockBit, conocido como LockBitSupp, había sido vocal y público en un intento de desestimar la operación de fuerzas del orden, y para mostrar que LockBit sigue activo y atacando a las víctimas. En marzo, LockBitSupp dio una entrevista al medio de comunicación The Record en la que afirmaba que la Operación Cronos y las acciones de las fuerzas del orden no “afectan de ninguna manera al negocio”.
“Lo tomo como publicidad adicional y una oportunidad para mostrar a todos la fuerza de mi carácter. No puedo ser intimidado. Lo que no te mata, te hace más fuerte,” dijo LockBitSupp a The Record.
