EE.UU. acusa a un ciudadano ruso de desarrollar y operar el ransomware LockBit

El presunto desarrollador de LockBit creó y operó la variante de ransomware más prolífica bajo los alias "LockBit" y "LockBitSupp"; El Departamento de Estado de EE.UU. ofrece una recompensa de hasta 10 millones de dólares; El Departamento del Tesoro de EE.UU. designa a LockBit administrador de sanciones.

El Departamento de Justicia de Estados Unidos ha presentado hoy cargos contra un ciudadano ruso por su presunto papel como creador, desarrollador y administrador del grupo de ransomware LockBit desde su creación en septiembre de 2019 hasta la actualidad. En ocasiones, LockBit fue el grupo de ransomware más prolífico del mundo.

"A principios de este año, el Departamento de Justicia y nuestros socios encargados de hacer cumplir la ley del Reino Unido desbarataron LockBit, un grupo de ransomware responsable de ataques a víctimas en todo Estados Unidos y en todo el mundo", dijo el fiscal general Merrick B. Garland. "Hoy vamos un paso más allá, acusando a la persona que alegamos que desarrolló y administró este esquema cibernético malicioso, que se ha dirigido a más de 2.000 víctimas y ha robado más de 100 millones de dólares en pagos de ransomware. Continuaremos trabajando en estrecha colaboración con nuestros socios, en todo el gobierno de los EE. UU. y en todo el mundo para interrumpir las operaciones de ciberdelincuencia como LockBit y para encontrar y responsabilizar a los responsables de ellas".

"Como parte de nuestros esfuerzos incansables para desmantelar los grupos de ransomware y proteger a las víctimas, el Departamento de Justicia ha presentado más de dos docenas de cargos penales contra el administrador de LockBit, una de las organizaciones de ransomware más peligrosas del mundo", dijo la fiscal general adjunta Lisa Monaco. "Trabajando con socios estadounidenses e internacionales, estamos utilizando todas nuestras herramientas para responsabilizar a los actores de ransomware, y continuamos alentando a las víctimas a denunciar los ataques cibernéticos al FBI cuando ocurren. Denunciar un ataque podría marcar la diferencia a la hora de prevenir el siguiente".

Dimitry Yuryevich Khoroshev (Дмитрий Юрьевич Хорошев), también conocido como LockBitSupp, LockBit y putinkrab, de 31 años, de Voronezh, Rusia, está acusado de una acusación formal de 26 cargos presentada por un gran jurado en el Distrito de Nueva Jersey.

"La acusación de hoy contra el desarrollador y operador de LockBit, Dimitry Yuryevich Khoroshev, continúa la interrupción continua del FBI del ecosistema criminal de LockBit", dijo el director del FBI, Christopher Wray. "El grupo de ransomware LockBit representó una de las variantes de ransomware más prolíficas en todo el mundo, causando miles de millones de dólares en pérdidas y causando estragos en la infraestructura crítica, incluidas escuelas y hospitales. Los cargos anunciados hoy reflejan el compromiso inquebrantable del FBI de interrumpir las organizaciones de ransomware y responsabilizar a los perpetradores".

La acusación contra Khoroshev revelada hoy sigue a una reciente interrupción del ransomware LockBit en febrero por parte de la División Cibernética de la Agencia Nacional contra el Crimen (NCA) del Reino Unido, que trabajó en cooperación con el Departamento de Justicia, el FBI y otros socios internacionales encargados de hacer cumplir la ley. Como anunció previamente el Departamento, las autoridades interrumpieron LockBit al incautar numerosos sitios web públicos utilizados por LockBit para conectarse a la infraestructura de la organización y al tomar el control de los servidores utilizados por los administradores de LockBit, interrumpiendo así la capacidad de los actores de LockBit para atacar y cifrar redes y extorsionar a las víctimas amenazando con publicar datos robados. Esa interrupción logró disminuir en gran medida la reputación de LockBit y su capacidad para atacar a más víctimas, como se alega en la acusación presentada hoy.

"Dmitry Khoroshev concibió, desarrolló y administró Lockbit, la variante y el grupo de ransomware más prolífico del mundo, lo que le permitió a él y a sus afiliados causar estragos y miles de millones de dólares en daños a miles de víctimas en todo el mundo", dijo el fiscal federal Philip R. Sellinger para el Distrito de Nueva Jersey. "Pensó que podía hacerlo oculto por su notorio apodo 'LockBitSupp', anónimo y libre de cualquier consecuencia, mientras se embolsaba personalmente 100 millones de dólares extorsionados a las víctimas de Lockbit. A través de una investigación incansable y la coordinación con nuestros socios en la Sección de Delitos Informáticos y Propiedad Intelectual de la División Criminal, el FBI y en el extranjero, hemos demostrado que él y sus cómplices estaban equivocados. La acusación de hoy marca un hito significativo en la investigación y el enjuiciamiento de LockBit, que ya ha dado lugar a cargos contra otros cinco afiliados de LockBit, dos de los cuales están bajo custodia a la espera de juicio, y una interrupción importante de la ahora desacreditada operación de LockBit".

Además, como se anunció anteriormente, las fuerzas del orden desarrollaron capacidades de descifrado que pueden permitir a cientos de víctimas de todo el mundo restaurar los sistemas cifrados con la variante de ransomware LockBit. Se recomienda a las víctimas de este malware que se comuniquen con el FBI en https://lockbitvictims.ic3.gov/

 para permitir que las fuerzas del orden determinen si los sistemas afectados se pueden descifrar con éxito.

De acuerdo con la acusación y otros documentos previamente revelados en el Distrito de Nueva Jersey:

Khoroshev y el grupo de ransomware LockBit

Khoroshev supuestamente actuó como desarrollador y administrador del grupo de ransomware LockBit desde su creación en septiembre de 2019 o alrededor de esa fecha hasta mayo de 2024. Khoroshev y sus cómplices afiliados convirtieron a LockBit en lo que fue, a veces, la variante de ransomware más activa y destructiva del mundo. El grupo de ransomware LockBit atacó a más de 2.500 víctimas en al menos 120 países, incluidas 1.800 víctimas en Estados Unidos. Las víctimas de LockBit incluían individuos, pequeñas empresas, corporaciones multinacionales, hospitales, escuelas, organizaciones sin fines de lucro, infraestructura crítica y agencias gubernamentales y de aplicación de la ley. Khoroshev y sus cómplices extrajeron al menos 500 millones de dólares en pagos de rescate de sus víctimas y causaron miles de millones de dólares en pérdidas más amplias, como pérdida de ingresos, respuesta a incidentes y recuperación.

Khoroshev supuestamente diseñó LockBit para operar en el modelo de "ransomware como servicio" (RaaS). En su papel como desarrollador y administrador de LockBit, Khoroshev organizó el diseño del código del ransomware LockBit, reclutó a otros miembros de LockBit, llamados afiliados, para implementarlo contra las víctimas y mantuvo la infraestructura de LockBit, incluido un panel de software en línea llamado "panel de control" para proporcionar a los afiliados las herramientas necesarias para implementar LockBit. Khoroshev también mantuvo el sitio web público de LockBit, llamado "sitio de fuga de datos", para la publicación de datos robados a las víctimas que se negaron a pagar un rescate.

Como se alega en la acusación, Khoroshev, como desarrollador de LockBit, generalmente recibía una parte del 20% de cada pago de rescate extorsionado a las víctimas de LockBit. El afiliado responsable de un ataque recibiría el 80% restante. Durante el esquema, solo Khoroshev supuestamente recibió al menos USD 100 millones en desembolsos de moneda digital a través de sus acciones de desarrollador de pagos de rescate de LockBit.

La infraestructura de LockBit incautada por las fuerzas del orden durante la interrupción de febrero de 2024 supuestamente mostró que Khoroshev conservaba copias de los datos robados a las víctimas de LockBit que habían pagado el rescate exigido.

Khoroshev y sus cómplices afiliados habían prometido falsamente a esas víctimas que sus datos robados serían eliminados después del pago. Además, después de la interrupción de febrero de 2024, Khoroshev supuestamente se comunicó con las fuerzas del orden y las instó a revelar las identidades de sus competidores de RaaS, a quienes Khoroshev llamó sus "enemigos", a cambio de sus servicios.

Khoroshev está acusado de un cargo de conspiración para cometer fraude, extorsión y actividades relacionadas con computadoras; un cargo de conspiración para cometer fraude electrónico; ocho cargos de daño intencional a una computadora protegida; ocho cargos de extorsión en relación con información confidencial de una computadora protegida; y ocho cargos de extorsión en relación con daños a una computadora protegida. En total, esos cargos conllevan una pena máxima de 185 años de prisión. Cada uno de los 26 cargos imputados por la acusación también conlleva una multa máxima de $250,000, ganancia pecuniaria para el delincuente o daño pecuniario para la víctima.

La investigación de LockBit.

Un total de seis miembros de LockBit han sido acusados por su participación en la conspiración de LockBit:

• En febrero de 2024, se dio a conocer una acusación en el Distrito de Nueva Jersey en la que se acusaba a los ciudadanos rusos https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant   también conocidos como Bassterlord, de desplegar LockBit contra numerosas víctimas en todo Estados Unidos, incluidas empresas de todo el país en la industria manufacturera y otras industrias.                                        
• En junio de 2023, se presentó una denuncia penal en el Distrito de Nueva Jersey acusando a Ruslan Magomedovich Astamirov, de nacionalidad rusa, en relación con su participación en el grupo LockBit. Astamirov se encuentra actualmente bajo custodia a la espera de juicio.En mayo de 2023, se dieron a conocer dos acusaciones en Washington, D.C., y en el Distrito de Nueva Jersey en las que se acusaba a Mikhail Matveev, también conocido como "Wazawaka", "m1x", "Boriselcin" y "Uhodiransomwar", de utilizar diferentes variantes de ransomware, incluido LockBit, para atacar a numerosas víctimas en todo Estados Unidos, incluido el Departamento de Policía Metropolitana de Washington, D.C. Matveev es actualmente objeto de una recompensa de hasta 10 millones de dólares a través del Programa de Recompensas contra el Crimen Organizado Transnacional (TOC, por sus siglas en inglés) del Departamento de Estado de EE. UU., con información aceptada a través del sitio web de pistas del FBI en tips.fbi.gov/ .
• Finalmente, en noviembre de 2022, se presentó una denuncia penal en el Distrito de Nueva Jersey acusando a Mikhail Vasiliev en relación con su participación en el grupo de ransomware LockBit. Vasiliev, con doble nacionalidad rusa y canadiense, se encuentra actualmente bajo custodia en Canadá a la espera de ser extraditado a Estados Unidos.

La oficina de campo del FBI en Newark está investigando la variante del ransomware LockBit.

Los abogados litigantes Jessica C. Peck, Debra Ireland y Jorge González de la Sección de Delitos Informáticos y Propiedad Intelectual (CCIPS) de la División Penal y los fiscales federales adjuntos Andrew M. Trombly, David E. Malagold y Vinay Limbachia para el Distrito de Nueva Jersey están procesando los cargos contra Khoroshev.

El Fiscal de Enlace de Delitos Cibernéticos del Departamento de Justicia con Eurojust, la Oficina de Asuntos Internacionales y la División de Seguridad Nacional también brindó una asistencia significativa.

Además, la Oficina de Control de Activos Extranjeros del Departamento del Tesoro anunció hoy que está designando a Khoroshev por su papel en el lanzamiento de ataques cibernéticos. Para obtener más información, visite https://home.treasury.gov/news/press-releases/jy2326. Las autoridades del Reino Unido y Australia también anunciaron hoy sanciones contra Khoroshev.

El Departamento de Estado también anunció hoy una recompensa de hasta 10 millones de dólares por información que conduzca a la detención de Khoroshev. La información que puede ser elegible para este premio se puede enviar por correo electrónico a fbisupp@fbi.gov, Telegram a @LockbitRewards, Signal a @FBISupp.01 y tox B0B98577F0541160C745B464E42C9AB782B036682FAD59D5F228EA75BF71691BE68A8E08BD55. La recompensa anunciada hoy complementa una recompensa anterior de hasta 10 millones de dólares por información que conduzca a la identificación de cualquier individuo que ocupe una posición de liderazgo en el grupo criminal detrás del ransomware LockBit. Para obtener más información sobre esta recompensa, visite Recompensa por información: LockBit Ransomware-as-a-Service.

Las víctimas de LockBit deben comunicarse con el FBI al https://lockbitvictims.ic3.gov para más información. Más detalles sobre la protección de las redes contra el ransomware LockBit están disponibles en StopRansomware.gov. Estos incluyen los avisos de la Agencia de Seguridad de Infraestructura y Ciberseguridad AA23-325A, AA23-165A y AA23-075A.

Una acusación es simplemente una acusación. Bajo U.S. Todos los acusados se presumen inocentes hasta que se demuestre su culpabilidad más allá de toda duda razonable en un tribunal de justicia.