Dmitry Khoroshev, el hacker más buscado del mundo por el que EE.UU. ofrece una recompensa de US$10 millones

En febrero de este año, Agencia Nacional contra el Crimen (NCA) del Reino Unido, junto a otras agencias policiales de varios países, desmantelaron LockBit, el grupo de ‘ransomware’ (secuestro de datos) que se había convertido en uno de los más prolíficos de la historia. Tres meses después, Estados Unidos va por su líder, el ruso Dmitry Yuryevich Khoroshev, por quien ofrece una recompensa de 10 millones de dólares por información que conduzca a su arresto y condena.

El ‘ransomware’ es un tipo de ataque cibernético en el que se impide a la víctima acceder a sus propios datos a menos que pague un rescate.

MIRA: Qué son las armas nucleares tácticas que Rusia usará en los ejercicios militares ordenados por Putin

Las fuerzas de seguridad de Estados Unidos, el Reino Unido y Australia identificaron a Dmitry Yuryevich Khoroshev, de 31 años, como el presunto operador de la cuenta LockBitSupp y cerebro de la organización del famoso grupo de ransomware LockBit, que ha extraído cientos de millones de dólares a miles de víctimas en todo el mundo, y que también vende sus servicios a otros delincuentes.

Hasta 185 años de prisión

Sobre Dmitry Khoroshev pesan 26 cargos en un tribunal federal de Nueva Jersey.

Khoroshev está acusado de un cargo de conspiración para cometer fraude, extorsión y actividades relacionadas con computadoras; un cargo de conspiración para cometer fraude electrónico; ocho cargos de daño intencional a una computadora protegida; ocho cargos de extorsión en relación con información confidencial de una computadora protegida; y ocho cargos de extorsión en relación con daños a una computadora protegida. En total, esos cargos conllevan una pena máxima de 185 años de prisión. Cada uno de los 26 cargos imputados en la acusación también conllevan una multa máxima de 250.000 dólares.

Según el Departamento de Justicia de Estados Unidos, LockBit atacó a más de 2.500 víctimas en al menos 120 países, incluidas 1.800 en Estados Unidos.

“Como parte de nuestros incansables esfuerzos para desmantelar los grupos de ransomware y proteger a las víctimas, el Departamento de Justicia ha presentado más de dos docenas de cargos penales contra el administrador de LockBit, una de las organizaciones de ransomware más peligrosas del mundo”, dijo la Fiscal General Adjunta Lisa Monaco.

Se embolsó hasta 100 millones de dólares

Entre los afectados por LockBit hay personas, pequeñas empresas, multinacionales, hospitales, escuelas, organizaciones sin ánimo de lucro y agencias gubernamentales y policiales.

Según el comunicado del Departamento de Justicia, Khoroshev y sus socios obtuvieron al menos 500 millones de dólares en los rescates pagados por sus víctimas y causaron miles de millones de dólares en pérdidas.

Khoroshev supuestamente actuó como desarrollador y administrador del grupo de LockBit desde sus inicios en septiembre del 2019 hasta la actualidad, indica la justicia de Estados Unidos.

“Dmitry Khoroshev concibió, desarrolló y administró Lockbit, la variante y grupo de ransomware más prolífica del mundo, lo que le permitió a él y a sus afiliados causar estragos y ocasionar miles de millones de dólares en daños a miles de víctimas en todo el mundo”, dijo el fiscal federal de Nueva Jersey Philip R. Sellinger.

“Pensó que podía hacerlo oculto bajo su notorio apodo ‘LockBitSupp’, anónimo y libre de consecuencias, mientras se embolsaba personalmente 100 millones de dólares extorsionados a las víctimas de Lockbit. A través de una investigación y coordinación incesantes con nuestros socios de la Sección de Delitos Informáticos y Propiedad Intelectual de la División Penal, el FBI y socios en el extranjero, hemos demostrado que él y sus cómplices estaban equivocados. La acusación formal marca un hito importante en la investigación y el procesamiento de LockBit”, agregó.

La acusación sostiene que Khoroshev, en su condición de desarrollador de LockBit, generalmente recibía el 20% de cada pago de rescate de los extorsionados. El afiliado responsable de un ataque recibía el 80% restante.

Retuvo copias de datos robados a víctimas que pagaron extorsión

De acuerdo con Estados Unidos, en su papel como desarrollador y administrador de LockBit, Khoroshev organizó el diseño del código del ransomware LockBit, reclutó a otros miembros de LockBit (llamados afiliados) para buscar víctimas y mantuvo la infraestructura de LockBit, incluido un panel de software en línea llamado “panel de control”, para proporcionar a los afiliados las herramientas necesarias para implementar el ransomware.

Khoroshev también mantuvo el sitio web público de LockBit para la publicación de datos robados de las víctimas que se negaron a pagar un rescate.

La infraestructura de LockBit incautada por las fuerzas del orden durante la operación de febrero del 2024 mostró que Khoroshev retuvo copias de los datos robados a las víctimas que habían pagado el rescate exigido.

Khoroshev y sus cómplices habían prometido falsamente a esas víctimas que sus datos robados serían eliminados después del pago.

¿Cómo operaba LockBit?

LockBit, que opera desde el 2019, ha sido descrito como el ransomware más peligroso del mundo. El grupo fue responsable del 23% de los casi 4.000 ataques que hubo en el 2023 en todo el planeta.

Cuando el ransomware de LockBit infecta un sistema, los datos del sistema de la víctima pasan a estar cifrados y se vuelven inaccesibles. Luego, los atacantes solicitan el pago de un rescate en criptomonedas para brindar la clave de descifrado que permita restaurar el estado original de los sistemas.

En caso de que no se pague el rescate, también suelen amenazar con publicar los datos cifrados.

LockBit ha sido vinculado con ataques al Royal Mail del Reino Unido, al Servicio Nacional de Salud de Gran Bretaña, al fabricante de aviones Boeing, al bufete de abogados internacional Allen and Overy y al banco más grande de China, ICBC, de acuerdo con la agencia AP.

Los ataques de LockBit también han paralizado sistemas de gobiernos locales, judiciales y escuelas.

Al menos 114 grupos de ciberdelincuentes

pagaban a LockBit para utilizar su ransomware y atacar por su cuenta, según las autoridades británicas.

Es difícil combatir a LockBit, pues la mayor parte de sus afiliados tienen su sede en antiguas repúblicas soviéticas y están fuera del alcance de la justicia occidental.

LockBit está dirigido por hablantes de ruso. Podría tener cientos de miembros, pero no hay evidencia de que un Estado como Rusia esté detrás de ellos.

En la Operación Cronos de febrero de este año, las autoridades dijeron que confiscaron los servidores que la pandilla usaba para organizar y transferir datos de las víctimas y obtuvieron acceso a casi 1.000 posibles claves de descifrado. También accedieron al código fuente de la plataforma Lockbit y a una gran cantidad de información de inteligencia sobre las personas con las que trabajaban.

La operación dirigida por la Agencia Nacional contra el Crimen del Reino Unido tenía como objetivo robar todos los datos de LockBit y luego destruir su infraestructura, causando una “degradación importante y significativa” de la amenaza del delito cibernético.

En febrero, el analista Brett Callow, de la firma de ciberseguridad Emsisoft, dijo que la operación era “probablemente la interrupción de ransomware más importante hasta la fecha”. Sin embargo, agregó que es probable que no signifique el fin de Lockbit, pues estos grupos resurgen con nuevos nombres.

En la actualidad, LockBit sigue activo. En marzo Khoroshev dio una entrevista a The Record donde dijo que el grupo seguía operando. Pero según describe la NCA, su capacidad e impacto global son reducidos. Desde febrero, los ataques de LockBit en territorio británico han disminuido en 73%.