El martes, las autoridades de EE. UU. y el Reino Unido revelaron que el cerebro detrás de LockBit, uno de los grupos de ransomware más prolíficos y dañinos de la historia, es un ruso de 31 años llamado Dmitry Yuryevich Khoroshev, también conocido como “LockbitSupp”.
Como es habitual en este tipo de anuncios, las fuerzas del orden publicaron fotografías de Khoroshev, así como detalles de la operación de su grupo. El Departamento de Justicia de Estados Unidos acusó a Khoroshev de varios delitos informáticos, fraude y extorsión. Y en el proceso, los federales también revelaron algunos detalles sobre las operaciones pasadas de LockBit.
A principios de este año, las autoridades confiscaron la infraestructura de LockBit y los bancos de datos de la pandilla, revelando detalles clave de cómo funcionaba LockBit.
Hoy tenemos más detalles de lo que los federales llamaron “una organización criminal masiva que, en ocasiones, se ha clasificado como el grupo de ransomware más prolífico y destructivo del mundo”.
Esto es lo que hemos aprendido de la acusación contra Khoroshev.
Khoroshev tenía un segundo apodo: putinkrab
El líder de LockBit era conocido públicamente con el apodo no muy imaginativo de LockBitSupp. Pero Khoroshev también tenía otra identidad en línea: putinkrab. La acusación no incluye ninguna información sobre el identificador en línea, aunque parece hacer referencia al presidente ruso Vladimir Putin. En Internet, sin embargo, hay varios perfiles que usan el mismo apodo en Flickr, YouTube y Reddit, aunque no está claro si estas cuentas estaban dirigidas por Khoroshev.
LockBit también afectó a las víctimas en Rusia
En el mundo del cibercrimen ruso, según los expertos, existe una regla sagrada y no escrita: piratea a cualquier persona fuera de Rusia y las autoridades locales te dejarán en paz. Sorprendentemente, según los federales, Khoroshev y sus cómplices “también utilizaron LockBit contra múltiples víctimas rusas”.
Queda por ver si esto significa que las autoridades rusas perseguirán a Khoroshev, pero al menos ahora saben quién es.
Khoroshev vigilaba de cerca a sus afiliados
Las operaciones de ransomware como LockBit se conocen como ransomware como servicio. Eso significa que hay desarrolladores que crean el software y la infraestructura, como Khoroshev, y luego están los afiliados que operan e implementan el software, infectan a las víctimas y exigen rescates. Los afiliados pagaron a Khoroshev alrededor del 20% de sus procedimientos, afirmaron los federales.
Según la acusación, este modelo de negocio permitió a Khoroshev monitorear “de cerca” a sus afiliados, incluso tener acceso a negociaciones con las víctimas y, en ocasiones, participar en ellas. Khoroshev incluso “exigió documentos de identificación a su afiliado Coconspirators, que también mantenía en su infraestructura”. Probablemente así fue como las autoridades pudieron identificar a algunas de las filiales de Lockbit.
Khoroshev también desarrolló una herramienta llamada “StealBit” que complementaba el ransomware principal. Esta herramienta permitía a los afiliados almacenar datos robados de las víctimas en los servidores de Khoroshev y, en ocasiones, publicarlos en el sitio oficial de filtración de la web oscura de LockBit.
Los pagos de ransomware de LockBit ascendieron a unos 500 millones de dólares
LockBit se lanzó en 2020 y, desde entonces, sus afiliados han extorsionado con éxito al menos aproximadamente 500 millones de dólares de alrededor de 2500 víctimas, que incluían “grandes corporaciones multinacionales hasta pequeñas empresas e individuos, e incluían hospitales, escuelas, organizaciones sin fines de lucro, instalaciones de infraestructura crítica y agencias gubernamentales y policiales”.
Además de los pagos de rescate, LockBit “causó daños en todo el mundo por un total de miles de millones de dólares estadounidenses”, porque la pandilla interrumpió las operaciones de las víctimas y obligó a muchas a pagar servicios de recuperación y respuesta a incidentes, afirmaron los federales.
Khoroshev se puso en contacto con las autoridades para identificar a algunos de sus afiliados.
Probablemente la más impactante de las últimas revelaciones: en febrero, después de que la coalición de agencias de aplicación de la ley globales derribara el sitio web y la infraestructura de LockBit, Khoroshev “se comunicó con las autoridades y ofreció sus servicios a cambio de información sobre la identidad de su [ransomware-as-a-service] competidores.”
Según la acusación, Khoroshev pidió a las autoridades que “[g]Dame los nombres de mis enemigos”.