Ciberseguridad 360 | Hacker ruso Dmitry Khoroshev desenmascarado como administrador del ransomware LockBit

La National Crime Agency (NCA) del Reino Unido ha desenmascarado al administrador y desarrollador del ransomware LockBit, revelando que se trata de un ciudadano ruso de 31 a�os llamado Dmitry Yuryevich Khoroshev.

Adem�s, Khoroshev ha sido sancionado por la Oficina de Asuntos Exteriores, de la Commonwealth y de Desarrollo (FCD) del Reino Unido, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos y el Departamento de Asuntos Exteriores de Australia.

Europol, en un comunicado de prensa, dijo que las autoridades est�n en posesi�n de m�s de 2.500 claves de descifrado y siguen poni�ndose en contacto con las v�ctimas de LockBit para ofrecerles apoyo.

Khoroshev, que se hac�a llamar LockBitSupp y putinkrab, tambi�n ha sido objeto de congelaci�n de activos y prohibici�n de viajar, y el Departamento de Estado de EE.UU. ofrece una recompensa de hasta 10 millones de d�lares por informaci�n que conduzca a su detenci�n y/o condena.

Anteriormente, la agencia hab�a anunciado ofertas de recompensa de hasta 15 millones de d�lares buscando informaci�n que condujera a la identidad y localizaci�n de los principales l�deres del grupo variante del ransomware LockBit, as� como informaci�n que condujera a la detenci�n y/o condena de los miembros del grupo.

Al mismo tiempo, el Departamento de Justicia ha hecho p�blica una acusaci�n contra Khoroshev por 26 cargos, entre ellos un cargo de conspiraci�n para cometer fraude, extorsi�n y actividades relacionadas con ordenadores; un cargo de conspiraci�n para cometer fraude electr�nico; ocho cargos de da�os intencionados a un ordenador protegido; ocho cargos de extorsi�n en relaci�n con informaci�n confidencial de un ordenador protegido; y ocho cargos de extorsi�n en relaci�n con da�os a un ordenador protegido.

En total, los cargos conllevan una pena m�xima de 185 a�os de prisi�n. Cada uno de los cargos conlleva adem�s una pena pecuniaria que es la mayor de 250.000 d�lares, ganancia pecuniaria para el delincuente o perjuicio pecuniario para la v�ctima.

Con la �ltima acusaci�n, se ha imputado a un total de seis miembros afiliados a la conspiraci�n LockBit, entre ellos Mikhail Vasiliev, Mikhail Matveev, Ruslan Magomedovich Astamirov, Artur Sungatov e Ivan Gennadievich Kondratiev.

"El anuncio de hoy pone otro enorme clavo en el ata�d de LockBit y nuestra investigaci�n sobre ellos contin�a", dijo el Director General de la NCA, Graeme Biggar. "Ahora tambi�n tenemos en el punto de mira a los afiliados que han utilizado los servicios de LockBit para infligir devastadores ataques de ransomware a escuelas, hospitales y grandes empresas de todo el mundo".

LockBit, que era uno de los grupos de ransomware como servicio (RaaS) m�s prol�ficos, fue desmantelado en el marco de una operaci�n coordinada denominada Cronos a principios de febrero. Se calcula que ha atacado a m�s de 2.500 v�ctimas en todo el mundo y ha recibido m�s de 500 millones de d�lares en rescates.

"El ransomware LockBit se ha utilizado contra empresas australianas, del Reino Unido y de los Estados Unidos, comprendiendo el 18% del total de incidentes de ransomware australianos reportados en 2022-23 y 119 v�ctimas reportadas en Australia", dijo Penny Wong, Ministra de Asuntos Exteriores de Australia.

Bajo el modelo de negocio RaaS, LockBit licencia su software de ransomware a afiliados a cambio de un recorte del 80% de los rescates pagados. El grupo de delincuencia electr�nica tambi�n es conocido por su doble t�ctica de extorsi�n, que consiste en extraer datos confidenciales de las redes de las v�ctimas antes de cifrar los sistemas inform�ticos y exigir el pago de rescates.

Se cree que Khoroshev, que inici� LockBit alrededor de septiembre de 2019, ha obtenido al menos 100 millones de d�lares en desembolsos como parte del esquema en los �ltimos cuatro a�os.

En un giro interesante, la acusaci�n tambi�n ha acusado a Khoroshev y sus co-conspiradores de desplegar LockBit contra m�ltiples v�ctimas rusas, afirmando que el acusado exigi� documentos de identificaci�n a los afiliados reclutados, e incluso se puso en contacto con las fuerzas del orden despu�s del desmantelamiento para ofrecer informaci�n sobre la identidad de sus competidores RaaS.

"El verdadero impacto de la criminalidad de LockBit era desconocido hasta ahora, pero los datos obtenidos de sus sistemas mostraron que entre junio de 2022 y febrero de 2024, se construyeron m�s de 7,000 ataques utilizando sus servicios", dijo la NCA. "Los cinco pa�ses m�s afectados fueron Estados Unidos, Reino Unido, Francia, Alemania y China".

Los intentos de LockBit por resurgir tras la acci�n de las fuerzas de seguridad han sido, en el mejor de los casos, infructuosos, lo que le ha llevado a publicar v�ctimas antiguas y falsas en su nuevo sitio de filtraci�n de datos.

"LockBit ha creado un nuevo sitio de filtraciones en el que ha inflado la aparente actividad publicando v�ctimas atacadas antes de que la NCA tomara el control de sus servicios en febrero, as� como atribuy�ndose el m�rito de ataques perpetrados utilizando otras cepas de ransomware", se�al� la agencia. "El grupo ha intentado reconstruirse en los �ltimos dos meses, sin embargo [...] actualmente est�n funcionando a una capacidad limitada y la amenaza global de LockBit se ha reducido significativamente".

Se estima que el esquema RaaS abarcaba 194 afiliados hasta el 24 de febrero, de los cuales 148 construyeron ataques y 119 entablaron negociaciones de rescate con las v�ctimas.

"De los 119 que iniciaron negociaciones, hay 39 que parece que nunca recibieron el pago de un rescate", se�al� la NCA. "Setenta y cinco no entablaron ninguna negociaci�n, por lo que tampoco parecen haber recibido ning�n pago de rescate".

El n�mero de afiliados activos de LockBit ha descendido desde entonces a 69, seg�n la NCA, que a�adi� que LockBit no borraba sistem�ticamente los datos robados una vez pagado el rescate y que descubri� numerosos casos en los que el descifrador proporcionado a las v�ctimas no funcionaba como se esperaba.

"Como l�der central del grupo LockBit y desarrollador del ransomware LockBit, Khoroshev ha desempe�ado una variedad de funciones operativas y administrativas para el grupo de ciberdelincuentes, y se ha beneficiado financieramente de los ataques de ransomware LockBit", dijo el Departamento del Tesoro de Estados Unidos.

"Khoroshev ha facilitado la actualizaci�n de la infraestructura de LockBit, ha reclutado nuevos desarrolladores para el ransomware y ha gestionado a los afiliados de LockBit. Tambi�n es responsable de los esfuerzos de LockBit para continuar las operaciones despu�s de su interrupci�n por los EE.UU. y sus aliados a principios de este a�o."

Fuente: thehackernews