Estados Unidos se unió hoy al Reino Unido y Australia para sancionar al ciudadano ruso de 31 años Dmitry Yuryevich Khoroshev como presunto líder del infame grupo de ransomware LockBit. El Departamento de Justicia de Estados Unidos también acusó a Khoroshev y lo acusó de utilizar Lockbit para atacar a más de 2.000 víctimas y extorsionar al menos 100 millones de dólares en pagos de ransomware. Imagen: Agencia Nacional contra el Crimen del Reino Unido. Khoroshev (Дмитрий Юрьевич Хорошев), residente de Voronezh, Rusia, fue acusado de 26 cargos por un gran jurado en Nueva Jersey. «Dmitry Khoroshev concibió, desarrolló y administró Lockbit, la variante y grupo de ransomware más prolífico del mundo, lo que le permitió a él y a sus afiliados causar estragos y causar miles de millones de dólares en daños a miles de víctimas en todo el mundo», afirmó el fiscal federal Philip R. dijo Sellinger en un comunicado emitido por el Departamento de Justicia. La acusación formal alega que Khoroshev actuó como desarrollador y administrador del grupo de ransomware LockBit desde su creación en septiembre de 2019 hasta mayo de 2024, y que normalmente recibió una participación del 20 por ciento de cada pago de rescate extorsionado a las víctimas de LockBit. El gobierno dice que las víctimas de LockBit incluyeron individuos, pequeñas empresas, corporaciones multinacionales, hospitales, escuelas, organizaciones sin fines de lucro, infraestructura crítica y agencias gubernamentales y policiales. “Khoroshev y sus cómplices extrajeron al menos 500 millones de dólares en pagos de rescate de sus víctimas y causaron miles de millones de dólares en pérdidas más amplias, como pérdida de ingresos, respuesta a incidentes y recuperación”, dijo el Departamento de Justicia. «El grupo de ransomware LockBit atacó a más de 2.500 víctimas en al menos 120 países, incluidas 1.800 víctimas en los Estados Unidos». El desenmascaramiento de LockBitSupp se produce casi tres meses después de que las autoridades de EE. UU. y el Reino Unido confiscaran los sitios web de la red oscura administrados por LockBit y los modernizaran con comunicados de prensa sobre las medidas policiales y herramientas gratuitas para ayudar a las víctimas de LockBit a descifrar los sistemas infectados. Los federales utilizaron el diseño existente en el sitio web de LockBit para avergonzar a las víctimas para presentar comunicados de prensa y herramientas de descifrado gratuitas. Uno de los títulos de blog que las autoridades dejaron en el sitio incautado fue una página teaser que decía: «¿Quién es LockbitSupp?», que prometía revelar la verdadera identidad del líder del grupo de ransomware. Ese artículo presentaba un reloj de cuenta regresiva hasta la gran revelación, pero cuando el cronómetro del sitio expiró no se ofrecieron tales detalles. Tras la redada del FBI, LockBitSupp acudió a los foros rusos sobre ciberdelincuencia para asegurar a sus socios y afiliados que la operación de ransomware todavía estaba en pleno funcionamiento. LockBitSupp también planteó otro conjunto de sitios web de la red oscura que pronto prometieron divulgar datos robados de varias víctimas de LockBit rescatadas antes de la redada del FBI. Una de las víctimas que LockBitSupp continuó extorsionando fue el condado de Fulton, Georgia. Después de la redada del FBI, LockbitSupp prometió liberar documentos confidenciales robados del sistema judicial del condado a menos que pagara una demanda de rescate antes de que expirara el temporizador de cuenta regresiva de LockBit. Pero cuando los funcionarios del condado de Fulton se negaron a pagar y el cronómetro expiró, nunca se publicó ningún registro robado. Los expertos dijeron que era probable que el FBI hubiera confiscado todos los datos robados de LockBit. LockBitSupp también se jactó de que su verdadera identidad nunca sería revelada y en un momento ofreció pagar 10 millones de dólares a cualquiera que pudiera descubrir su verdadero nombre. KrebsOnSecurity ha estado en contacto intermitente con LockBitSupp durante varios meses mientras informaba sobre diferentes víctimas de LockBit. LockBitSupp, contactado con la misma identidad de mensajería instantánea ToX que el líder del grupo de ransomware promovió en los foros rusos sobre cibercrimen, afirmó que las autoridades nombraron al tipo equivocado. «No soy yo», respondió LockBitSupp en ruso. “No entiendo cómo el FBI pudo conectarme con este pobre tipo. ¿Dónde está la cadena lógica de que soy yo? ¿No sientes lástima por una persona inocente al azar? Se sabe que LockBitSupp, que ahora tiene una recompensa de 10 millones de dólares por su arresto del Departamento de Estado de Estados Unidos, es flexible con la verdad. El grupo Lockbit practicaba habitualmente la “doble extorsión” contra sus víctimas: exigía un pago de rescate por una clave para desbloquear los sistemas secuestrados y un pago separado a cambio de la promesa de eliminar los datos robados a sus víctimas. Pero los funcionarios del Departamento de Justicia dicen que LockBit nunca eliminó los datos de sus víctimas, independientemente de si esas organizaciones pagaron un rescate para evitar que la información se publicara en el sitio web de LockBit para avergonzar a las víctimas. Khoroshev es la sexta persona acusada oficialmente como miembro activo de LockBit. El gobierno dice que el ciudadano ruso Artur Sungatov utilizó el ransomware LockBit contra víctimas en empresas de fabricación, logística, seguros y otras empresas en todo Estados Unidos. Ivan Gennadievich Kondratyev, también conocido como «Bassterlord», supuestamente implementó LockBit contra objetivos en Estados Unidos, Singapur, Taiwán y Líbano. Kondratyev también está acusado (PDF) de tres cargos penales derivados de su presunto uso de la variante de ransomware Sodinokibi (también conocido como «REvil») para cifrar datos, exfiltrar información de la víctima y extorsionar el pago de un rescate a una víctima corporativa con sede en el condado de Alameda, California. . En mayo de 2023, las autoridades estadounidenses revelaron acusaciones contra dos presuntos afiliados de LockBit, Mikhail “Wazawaka” Matveev y Mikhail Vasiliev. En enero de 2022, KrebsOnSecurity publicó Who is the Network Access Broker ‘Wazawaka’, que siguió pistas de los numerosos seudónimos y detalles de contacto de Wazawaka en los foros de cibercrimen en ruso hasta Mikhail Matveev, de 31 años, de Abaza, RU. Matveev sigue prófugo, presumiblemente todavía en Rusia. Mientras tanto, el Departamento de Estado de Estados Unidos tiene una oferta de recompensa de 10 millones de dólares por información que conduzca al arresto de Matveev. Vasiliev, de 35 años, de Bradford, Ontario, Canadá, está detenido en Canadá en espera de ser extraditado a los Estados Unidos (la denuncia contra Vasiliev se encuentra en este PDF). En junio de 2023, el ciudadano ruso Ruslan Magomedovich Astamirov fue acusado en Nueva Jersey por su participación en la conspiración LockBit, incluido el despliegue de LockBit contra víctimas en Florida, Japón, Francia y Kenia. Astamirov se encuentra actualmente bajo custodia en Estados Unidos en espera de juicio. El Departamento de Justicia insta a las víctimas de LockBit a que se comuniquen con el FBI en https://lockbitvictims.ic3.gov/ para presentar una queja oficial y determinar si los sistemas afectados se pueden descifrar con éxito.