Las últimas horas han sido claves para la investigación en la operación del ransomware LockBit. Las fuerzas de seguridad de EEUU, Reino Unido y Australia han identificado al ciudadano ruso, Dmitry Yuryevich Khoroshev como el presunto culpable y operador de la cuenta LockBitSupp. Un cerebro calculador y un perfil analítico que habría conseguido piratear y explotar más de 120 millones de dólares de sus víctimas.
Con la identificación del líder de la famosa banda de ransomware, ahora se oferta una recompensa de 10 millones de dólares a quien ofrezca información sobre su paradero, la cual facilitaría su arresto. Oculto tras supuestos seudónimos, se enfrenta a una pena máxima de prisión de 185 años.
Las investigaciones concluyen una acusación penal de 26 cargos, alegándose a Khoroshev, de 31 años de edad, el desarrollo, promoción y supervisión del software LockBit para reclutar afiliados en foros de ciberdelincuentes, los cuales después llevaron a cabo ataques de ransomware reales. A posteriori, una vez abonado el rescate, los afiliados pagaban a Khoroshev un recorte del 20% de sus ganancias, generalmente en Bitcoin.
Las claves de la investigación
Según la acusación, Khoroshev ha recibido 100 millones de dólares en desembolsos de Bitcoin de las actividades llevadas a cabo por LockBit durante su operación. Precisamente las autoridades estadounidenses se encuentran al acecho para confiscar todas esas ganancias.
Sancionado por la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EEUU, Khoroshev se encuentra en el punto de mira. Ahora se ha prohibido terminantemente que ningún ciudadano estadounidense realice transacciones hacia este individuo. Por el momento, se ha identificado una dirección de Bitcoin, incluida dentro de la lista de ‘Nacionales Especialmente Designados’.
Esa vinculación del ruso con LockBitSupp se produce justo después de que la policía de Reino Unido se infiltrase en los sistemas del grupo LockBit y realizase diferentes detenciones, desconectando servidores, recopilando comunicaciones internas del grupo y acabando con el hackeo masivo de LockBit.
En un movimiento estratégico denominado ‘Operación Cronos’, dirigida por la Agencia Nacional contra el Crimen de Reino Unido (NCA), se ha logrado neutralizar al grupo de piratas informáticos y se ha provocado un gran revuelo en el ecosistema de los ciberdelincuentes de Rusia.
Junto al citado Khoroshev, otros cinco miembros de LockBit han sido acusados de delitos por participar en la operación criminal, y al menos uno (con doble nacionalidad ruso-canadiense, Mikhail Vasiliev) ha sido condenado a prisión.
El perfil de Dmitry Khoroshev
Hablar de Dmitry Khoroshev es hacerlo de una mente experta y con capacidad para atentar contra millones de usuarios, extrayendo un gran beneficio de capital a cambio de sobornos por Internet.
De 31 años y residente en Rusia, los detalles de su designación de sanción incluyen varias direcciones de correo electrónico y direcciones de criptomoneda con las que se vincula. Además, se recogen detalles sobre su pasaporte ruso.
Pese a su capacidad analítica y su poder para eludir la justicia, nada le puede evitar que se enfrente a un cargo de conspiración para cometer fraude, extorsión y actividades relacionadas con fraude electrónico. En concreto, se le vinculan ocho cargos de daño intencional a una computadora protegida, ocho cargos de extorsión en relación con información ilegal y ocho cargos de extorsión en relación con daño intencional a una computadora protegida.
La evolución de LockBit
Las investigaciones señalan que el grupo LockBit surgió en 2019. Desde entonces, ha sido una de las herramientas de ransomware más prolíficas del mundo. En concreto, cuenta con una red de afiliados que ataca a una media de 2.500 víctimas (1.800 de ellas en EEUU). Además, se estima que extorsionaron unos 500 millones de dólares en pagos de rescate.
A lo largo de su historia, LockBit había logrado atentar contra Boeing, Royal Mail (servicio postal británico), un hospital infantil en Canadá y el Banco Industrial y Comercial de China, entre otros. Y es que, a finales de diciembre de 2023, LockBit acumulaba 2.350 víctimas en su sitio de filtraciones.
Dentro del sistema de LockBit se detectaron 7.000 construcciones de ataque para víctimas únicas, figurando más de un centenar de hospitales, pese a sus normas internas de no atacar instalaciones médicas. Como plataforma de ‘ransomware como servicio (RaaS), LockBitSupp lanzó el malware fácil de usar, aunque manteniendo siempre un perfil bajo.
Pese a su enorme poder, las investigaciones de la NCA concluyen que hubo unos 114 miembros del grupo que no efectuaron ataques y no ganaron dinero en su pertenencia al colectivo.
La operativa de LockBit era tomar el dinero y reinvertirlo en nuevas operaciones, entre ellas, la actualización de su malware. Como nota anecdótica, LockBitSupp también organizó un concurso de redacción en los foros de hacking, llegando a ofrecer una «recompensa por errores» si la gente encontraba fallos en el código de LockBit. En aquel momento prometió un pago de 1.000 dólares a quien se tatuara el logotipo de LockBit. No obstante, su evolución no ha sido tan favorable, pues en enero de 2024 fue expulsado de dos importantes foros de ciberdelincuentes en ruso.
Tras la desconexión de LockBit en febrero por la ‘Operación Cronos’, LockBitSupp creó réplicas del sitio de filtraciones del grupo en apenas cinco días. No obstante, la credibilidad del colectivo quedó plenamente destruida, por lo que le será casi imposible remontar.
