La Agencia Nacional contra el Crimen (NCA) del Reino Unido nombró y avergonzó a una filial de alto perfil de LockBit mientras continúa su acción de derribo de la Operación Cronos contra la notoria pandilla, exponiendo una relación con la organización de delitos cibernéticos Evil Corp de la que algunos sospechaban, pero que nunca tuvo éxito. confirmado hasta el momento. Después de pasar meses rastreando el tesoro de información que pasó por sus manos en febrero cuando comenzó la Operación Cronos, la NCA ha afirmado hoy con confianza que un afiliado individual de LockBit que se hacía llamar Beverley era al mismo tiempo un actor clave en el Mal. Imperio corporativo. Su verdadero nombre es Aleksandr Ryzhenkov y fue la mano derecha del infame cerebro de Evil Corp, Maksim Yakubets, durante más de una década. Como socio de confianza y amigo de Yakubets, Ryzhenkov asumió un papel activo en el desarrollo del ransomware WastedLocker implementado por Evil Corp alrededor de 2020, cuando el grupo estaba en desorden luego de una operación en su contra en diciembre de 2019. Desde 2022, dijo la NCA, Ryzhenkov también ha estado trabajando como afiliado de LockBit. Gavin Webb, oficial superior de investigación de la Operación Cronos, dijo que el administrador de LockBit, LockBitSupp (nombre real Dmitry Khoroshev) había negado en el pasado cualquier vínculo con la longeva pandilla Evil Corp. “LockBit fue muy claro en que nunca trabajó con Evil Corp, y hemos podido demostrar aquí muy claramente que así fue. Un afiliado clave [Ryzhenkov] «Fue responsable de intentar extorsionar 100 millones de dólares en Bitcoin y también apuntar y crear ataques contra al menos 60 víctimas», dijo Webb, quien agregó que la NCA todavía está trabajando con el grupo más amplio de agencias involucradas en la Operación Cronos para establecer todos los detalles de Actividad de los afiliados de LockBit y cómo encajan las piezas del rompecabezas. Además de Ryzhenkov, en el Reino Unido han sido sancionadas un total de 16 personas asociadas con Evil Corp, mientras que en Estados Unidos también se ha revelado una nueva acusación contra Ryzhenkov. Se cree que Evil Corp ha ganado 300 millones de dólares con víctimas de todo el mundo a lo largo de los años, y entre las víctimas conocidas se incluyen muchos operadores de infraestructura nacional crítica (CNI), organizaciones del sector sanitario y organismos gubernamentales y públicos. James Babbage, director general de amenazas de la NCA, dijo: “La acción anunciada hoy se ha llevado a cabo junto con investigaciones extensas y complejas de la NCA sobre dos de los grupos de delitos cibernéticos más dañinos de todos los tiempos. “Estas sanciones exponen a más miembros de Evil Corp, incluido uno que era afiliado de LockBit, y aquellos que fueron fundamentales para permitir su actividad. “Desde que apoyamos la acción de Estados Unidos contra Evil Corp en 2019, los miembros modificaron sus tácticas y los daños atribuidos al grupo se redujeron significativamente. Esperamos que estas nuevas designaciones también interrumpan su actividad criminal en curso. En el bolsillo de Putin Durante su investigación, la NCA también confirmó la evidencia de vínculos sospechados desde hace mucho tiempo entre Evil Corp y el Kremlin, revelando que el cabecilla de Evil Corp, Yakubets, ha estado en el bolsillo del gobierno ruso y buscó activamente contactos y conexiones en los niveles más altos de la comunidad de inteligencia. Significativamente, Yakubets contó con la ayuda de su suegro, Eduard Benderskiy, un ex funcionario de alto rango del FSB, quien aprovechó sus contactos para ayudar a Yakubets a desarrollar su relación con el Estado ruso. Desde hace tiempo se sabe que existía un vínculo entre los Yakubets y el Estado a través del ex oficial de la Spetsnaz Benderskiy, quien probablemente cuenta con el oído del líder ruso Vladimir Putin. Sin embargo, la NCA también reveló nueva inteligencia de que antes de 2019, Evil Corp tenía oficialmente la tarea de realizar ciberataques y acciones de espionaje contra países de la OTAN. Después de la acción de diciembre de 2019 contra Evil Corp, en la que Yakubets fue acusado por Estados Unidos, Benderskiy también ejerció su influencia en Moscú, apoyándose en otros miembros del gobierno ruso para asegurarse de que los miembros de su familia quedaran en paz. Tanto Viktor Yakubets como Eduard Benderskiy se encuentran entre las personas sancionadas hoy. La NCA enfatizó que la relación entre los dos era muy inusual y que la mayoría de las bandas de ciberdelincuentes con sede en Rusia operan con motivación financiera, aunque reciben un cierto grado de «protección» de Moscú. El secretario de Asuntos Exteriores del Reino Unido, David Lammy, dijo: “Mi misión personal es atacar al Kremlin con todo el arsenal de sanciones a nuestra disposición. Putin ha construido un Estado mafioso corrupto en el que él mismo está en el centro. Debemos combatir esto en todo momento y la acción de hoy es sólo el comienzo”. El derribo de LockBit es una humillación para la pandilla La pandilla LockBit, que interrumpió infamemente los servicios internacionales de Royal Mail durante semanas a principios de 2023, fue derribada en la Operación Cronos en febrero de 2024 después de una prolífica ola de crímenes que en un momento le llevó a representar más de un cuarta parte de todos los ataques de ransomware conocidos en todo el mundo. La operación Cronos resultó en el compromiso casi completo de la operación LockBit. Esto se logró no sólo mediante un desmantelamiento técnico de su infraestructura de servidores, sino también aplicando creativamente algunas de las tácticas de la pandilla, entre ellas nombrar y avergonzar a miembros clave, incluido su autoengrandecido líder Khoroshev. En particular, el propio Khoroshev fue troleado por la NCA a principios de año cuando revelaron que no conducía, como afirmó, un Lamborghini sino un Mercedes viejo para el que, al vivir en la Rusia sancionada, ya no podía conseguir repuestos. De esta manera, dicen los ciberexpertos, las autoridades se han asegurado de que la tripulación no sólo no pueda operar, sino que haya sido humillada ante los ojos de sus pares, y aunque individuos asociados o afiliados a LockBit intentaron contraatacar al principio, el daño a su reputación que el equipo sufrió en el derribo, junto con una serie de arrebatos que hicieron que el inestable Khoroshev fuera excluido de los foros clandestinos sobre delitos cibernéticos, significó que ya nadie quería trabajar con LockBit, y estos esfuerzos fracasaron en gran medida. Esto no quiere decir que el peligro de LockBit haya pasado: ocho meses después, el casillero de ransomware en sí sigue siendo una amenaza y se ha utilizado en nuevas víctimas, pero tiende a ser versiones más antiguas y filtradas que se implementan sin mucho éxito por parte de personas de poca monta. afiliados. Con su credibilidad hecha jirones, la pandilla LockBit, dijo la NCA, ya no es lo que era. «La disrupción que llevamos a cabo tuvo como objetivo tanto alterar el grupo como interrumpir su trayectoria de crecimiento y evitar que se hicieran aún más grandes», dijo Webb. Más arrestos En las últimas semanas, reveló la NCA, se han realizado más arrestos en el Reino Unido y Europa de personas que lavaron dinero para LockBit. Las autoridades francesas arrestaron a un desarrollador sospechoso, mientras que en España uno de los principales facilitadores de la infraestructura de LockBit fue detenido y se incautaron un total de nueve servidores. La NCA también relanzó el portal web oscuro de LockBit, que asumió en febrero y ha estado utilizando para burlarse de los ciberdelincuentes, publicando más detalles de algunos de los individuos arrestados en las últimas semanas.