Dmitry Yuryevich Khoroshev, un ciudadano ruso de 31 años, ha pasado en las últimas horas de ser un completo desconocido a convertirse en uno de los cibercriminales más buscados del mundo al ser señalado como el líder del prolífico grupo de ransomware LockBit, vinculado al gobierno de Rusia.
Las fuerzas de seguridad del Reino Unido, Estados Unidos y Australia han revelado conjuntamente su identidad este martes desenmascarándole como el administrador y desarrollador de LockBit, que lleva años operando escondido bajo el seudónimo LockBitSupp y sobre el que además han anunciado medidas y sanciones.
Khoroshev ahora está sujeto a una serie de congelaciones de activos y prohibiciones de viajes emitidas por la Oficina de asuntos exteriores, Commonwealth y desarrollo del Reino Unido, la Oficina de control de activos extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos y el Departamento de asuntos exteriores y comercio de Australia, informa Europol en un comunicado.
Según indica, estas acciones suponen la segunda fase de la operación 'Cronos', la coalición policial internacional que trata de desarticular el grupo de ransomware y que el pasado mes de febrero completó su primera fase de acción comprometiendo la plataforma principal de la banda y otra infraestructura crítica en un golpe que parecía mortal.
EE.UU. ofrece una recompensa de 10 millones de dólares
El Departamento de Estado de EE.UU. también ha anunciado una recompensa de 10 millones de dólares por información que conduzca a la detención de Dmitry Yuryevich Khoroshev, quien ha sido incluido en la 'Lista de Nacionales Especialmente Designados y Personas Bloqueadas' ('Specially Designated Nationals and Blocked Persons'-'SDN List') de la OFAC estadounidense.
La inclusión en la 'SND List' implica la publicación de una serie de datos de Khoroshev, entre los que se encuentran su fecha de nacimiento (17 de abril de 1993), sus direcciones de correo electrónico (khoroshev1@icloud.com y sitedev5@yandex.ru), la dirección de su cartera de criptomonedas (XBT bc1qvhnfknw852ephxyc5hm4q520zmvf9maphetc9z), e incluso los números de sus dos pasaportes, ambos expedidos en Rusia (2018278055 y 2006801524) y su número de identificación fiscal (366110340670).
Paralelamente, el Departamento de Justicia de EE.UU. ha acusado a Khoroshev de 26 delitos perpetrados en su presunta condición de líder de LockBit. Concretamente, le inculpan de 16 cargos de extorsión, ocho cargos de daño intencional a sistemas informáticos protegidos, un cargo de conspiración para cometer fraude, extorsión y actividades informáticas maliciosas y un cargo de conspiración para cometer fraude electrónico, precisa The Hacker News, y apunta.
"En total, los cargos conllevan una pena máxima de 185 años de prisión. Cada uno de los cargos conlleva además una sanción monetaria que en el mayor de los casos alcanza los 250.000 dólares, una ganancia pecuniaria para el infractor o un daño pecuniario para la víctima".
LockBit ha causado un tremendo impacto, pero la operación 'Cronos' lo está debilitando
Gracias a la primera fase de la operación 'Cronos', dirigida por la Agencia Nacional contra el crimen del Reino Unido (NCA), se ha descubierto el verdadero impacto de la cibercriminalidad de LockBit. Así lo sostienen tanto Europol como la propia NCA, que señalan que los datos obtenidos de sus sistemas han permitido descubrir que el grupo estuvo detrás de más de 7.000 ciberataques en menos de dos años, entre junio 2022 y febrero de 2024.
Los cinco países más afectados fueron Estados Unidos, Reino Unido, Francia, Alemania y China, y al menos 2.110 se vieron forzadas a mantener algún tipo de negociación con los ciberdelincuentes.
Según la NCA, LockBit ha intentado rearmarse durante los dos últimos meses, tras el primer golpe de las fuerzas policiales de la operación 'Cronos'. Sin embargo, asegura que actualmente "está funcionando a una capacidad limitada" y la amenaza global que representa se ha reducido significativamente.
"LockBit ha creado un nuevo sitio de filtraciones en el que han inflado su presunta actividad al publicar a las víctimas atacadas antes de que la NCA tomara el control de sus servicios en febrero, además de atribuirse el mérito de los ataques perpetrados con otras cepas de ransomware".
"Los datos muestran que el número promedio de ataques mensuales de LockBit se ha reducido en un 73% en el Reino Unido desde la acción de febrero, y otros países también informaron reducciones. Los ataques parecen haber sido llevados a cabo por afiliados menos sofisticados y con menores niveles de impacto", subraya la Agencia Nacional contra el crimen del Reino Unido.
En palabras del director general de la NCA, Graeme Biggar: "El anuncio de hoy pone otro gran clavo en el ataúd de LockBit y nuestra investigación sobre ellos continúa. Ahora también nos dirigimos a afiliados que han utilizado los servicios de LockBit para infligir devastadores ataques de ransomware en escuelas, hospitales y empresas importantes de todo el mundo. Al trabajar con nuestros socios internacionales, utilizaremos todas las herramientas a nuestra disposición para atacar a otros grupos como LockBit, exponer su liderazgo y socavar sus operaciones para proteger al público".
Servicio gratuito de descifrado de archivos para las víctimas de LockBit
Europol, que colabora en la operación 'Cronos', también asegura que las autoridades ahora disponen de más de 2.500 claves de descifrado, que pueden ayudar a las víctimas a desbloquear datos previamente cifrados por LockBit.
La agencia policial de la UE está intentando identificar a las víctimas del grupo de ransomware, "que se encuentran en todo el mundo", y su Centro Europeo de Ciberdelincuencia (EC3) ha difundido unos 3.500 paquetes que contienen información sobre ellas.
Las soluciones de descifrado diseñadas para recuperar archivos cifrados por LockBit se ofrecen de forma gratuita en el portal No More Ransom, disponible en 37 idiomas.