Ciberdelincuente ruso Dmitry Khoroshev revelado como administrador del ransomware LockBit

XPoint
Publicado el 07/05/2024

La Agencia Nacional de Crimen del Reino Unido (NCA) ha revelado la identidad del administrador y desarrollador de la operación de ransomware LockBit, revelando que se trata de un ciudadano ruso de 31 años llamado Dmitry Yuryevich Khoroshev.

Además, Khoroshev ha sido sancionado por la Oficina de Asuntos Exteriores y de la Commonwealth del Reino Unido (FCD), la Oficina de Control de Activos Extranjeros del Departamento del Tesoro de los Estados Unidos (OFAC) y el Departamento de Asuntos Exteriores de Australia.

Europol, en un comunicado de prensa, dijo que las autoridades tienen en su poder más de 2,500 claves de descifrado y continúan contactando a las víctimas de LockBit para ofrecer apoyo.

Khoroshev, quien usaba los alias LockBitSupp y putinkrab, también se ha convertido en objeto de congelaciones de activos y prohibiciones de viaje, y el Departamento de Estado de los Estados Unidos ofrece una recompensa de hasta $10 millones de dólares por información que conduzca a su arresto y/o condena.

Anteriormente, la agencia había anunciado ofertas de recompensa de hasta $15 millones buscando información que conduzca a la identidad y ubicación de los líderes clave del grupo de variantes del ransomware LockBit, así como información que conduzca a los arrestos y/o condenas de los miembros del grupo.

Ciberseguridad Al mismo tiempo, una acusación revelada por el Departamento de Justicia (DoJ) ha acusado a Khoroshev de 26 cargos, incluido un cargo de conspiración para cometer fraude, extorsión y actividad relacionada con computadoras; un cargo de conspiración para cometer fraude electrónico; ocho cargos de daño intencional a una computadora protegida; ocho cargos de extorsión relacionada con información confidencial de una computadora protegida; y ocho cargos de extorsión relacionada con daños a una computadora protegida.

En total, los cargos llevan una pena máxima de 185 años de prisión. Cada uno de los cargos lleva además una pena monetaria que es la mayor de $250,000 dólares, la ganancia pecuniaria para el infractor o el daño pecuniario a la víctima.

Con la última acusación, un total de seis miembros afiliados a la conspiración de LockBit han sido acusados, incluidos Mikhail Vasiliev, Mikhail Matveev, Ruslan Magomedovich Astamirov, Artur Sungatov e Ivan Kondratyev.

«El anuncio de hoy pone otro gran obstáculo en el camino de LockBit y nuestra investigación sobre ellos continúa», dijo el Director General de la NCA, Graeme Biggar. «También estamos ahora apuntando a los afiliados que han utilizado los servicios de LockBit para infligir devastadores ataques de ransomware en escuelas, hospitales y grandes empresas de todo el mundo».

LockBit, que fue uno de los grupos de ransomware como servicio (RaaS) más prolíficos, fue desmantelado como parte de una operación coordinada llamada Cronos el pasado mes de febrero. Se estima que ha atacado a más de 2,500 víctimas en todo el mundo y ha recibido más de $500 millones de dólares en pagos de rescate.

«El ransomware LockBit se ha utilizado contra empresas de Australia, el Reino Unido y los Estados Unidos, comprendiendo el 18% del total de incidentes de ransomware reportados en Australia en 2022-23 y 119 víctimas reportadas en Australia», dijo Penny Wong, Ministra de Asuntos Exteriores de Australia.

Bajo el modelo de negocio RaaS, LockBit licencia su software de ransomware a afiliados a cambio de un 80% de los rescates pagados. El grupo de cibercriminales también es conocido por sus tácticas de doble extorsión, donde se exfiltra datos sensibles de las redes de las víctimas antes de cifrar los sistemas informáticos y exigir pagos de rescate.

Se cree que Khoroshev, quien inició LockBit alrededor de septiembre de 2019, ha obtenido al menos $100 millones de dólares en pagos como parte del esquema durante los últimos cuatro años.

«El verdadero impacto de la criminalidad de LockBit era desconocido anteriormente, pero los datos obtenidos de sus sistemas mostraron que entre junio de 2022 y febrero de 2024, se construyeron más de 7,000 ataques utilizando sus servicios», dijo la NCA. «Los cinco principales países afectados fueron los Estados Unidos, el Reino Unido, Francia, Alemania y China».

Los intentos de LockBit de resurgir después de la acción de las fuerzas del orden han sido infructuosos en el mejor de los casos, lo que le ha llevado a publicar víctimas antiguas y falsas en su nuevo sitio de filtración de datos.

Ciberseguridad «LockBit ha creado un nuevo sitio de filtración en el que han inflado la aparente actividad al publicar víctimas atacadas antes de que la NCA tomara el control de sus servicios en febrero, así como acreditarse ataques perpetrados utilizando otras variantes de ransomware», señaló la agencia.

Se estima que el esquema de RaaS ha abarcado a 194 afiliados hasta el 24 de febrero, de los cuales 148 realizaron ataques y 119 participaron en negociaciones de rescate con las víctimas.

«De los 119 que comenzaron negociaciones, hay 39 que al parecer nunca recibieron un pago de rescate», señaló la NCA. «Setenta y cinco no participaron en ninguna negociación, por lo que tampoco parecen haber recibido ningún pago de rescate».

El número de afiliados activos de LockBit ha disminuido desde entonces a 69, dijo la NCA, agregando que LockBit no eliminaba rutinariamente los datos robados una vez que se pagaba un rescate y que descubrió numerosos casos en los que el descifrador proporcionado a las víctimas no funcionaba como se esperaba.

«Como líder principal del grupo central de LockBit y desarrollador del ransomware LockBit, Khoroshev ha desempeñado una variedad de roles operativos y administrativos para el grupo de cibercriminales, y ha obtenido beneficios

Preguntas frecuentes

¿Cómo funciona el ransomware LockBit?

+

Como es un ciberataque autopilotado, los atacantes de LockBit se caracterizan por amenazar a organizaciones de todo el mundo con: Interrumpir las operaciones por la detención repentina de las funciones esenciales. Extorsionarlas para el beneficio financiero del hacker.

¿Qué es un CyberSOC?

+

CyberSOC es una abreviatura de Centro de Operaciones de Ciberseguridad (en inglés, Cybersecurity Operations Center). Un CyberSOC es un componente clave en la infraestructura de Ciberseguridad de una organización. Su función principal es Monitorear, Detectar, Analizar y Responder a Ciberamenazas en tiempo real. El Equipo de un CyberSOC está compuesto por profesionales con experiencia en análisis de amenazas, forense digital, inteligencia de amenazas y otros campos relacionados.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es el Hacking Ético?

+

El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos