Las autoridades estadounidenses y británicas identifican, sancionan y levantan acta de acusación contra el líder del grupo de Ransomware LockBit

Estados Unidos y el Reino Unido han designado hoy a Dmitry Yuryevich Khoroshev, ciudadano ruso y líder del grupo LockBit, con sede en Rusia, por su papel en el desarrollo y distribución del ransomware LockBit.

La designación es el resultado de la cooperación y colaboración entre el Tesoro de Estados Unidos, el Departamento de Estado de Estados Unidos, el Department of Justice de Estados Unidos, Federal Bureau of Investigation, la Agencia Nacional contra el Crimen del Reino Unido, la Policía Federal Australiana y otros socios internacionales. 

Al mismo tiempo, el Department of Justice presentó una acusación y el Departamento de Estado anunció una oferta de recompensa por información que condujera a la detención o condena de Khoroshev.

Esta designación se produce tras otras acciones recientes del Gobierno de Estados Unidos contra los ciberdelincuentes rusos implicados en el ransomware, incluida la interrupción de la infraestructura del ransomware LockBit y las sanciones contra las filiales del grupo LockBit. 

LockBit es uno de los grupos de ransomware más prolíficos del mundo. El grupo ha tenido un impacto sin precedentes en empresas e infraestructuras críticas de todo el mundo, utilizando un modelo Ransomware(RaaS) para llevar a cabo miles de ataques y extorsionar a las víctimas para que paguen grandes rescates en criptomoneda. A través del análisis en cadena, TRM estima que las direcciones controladas por los administradores y afiliados de LockBit han recibido más de 160 millones de GBP (o 200 millones de USD) en bitcoin desde 2022, de los cuales más de 85 millones de GBP (o 110 millones de USD) aún no se han gastado en múltiples direcciones en cadena.

La OFAC añade una criptodirección asociada a Khoroshev a la lista de sanciones

Además de designar hoy a Khoroshev, la Oficina de Control de Activos Extranjeros del Tesoro de EE.UU. también ha añadido hoy a la lista de sanciones - XBT bc1qvhnfknw852ephxyc5hm4q520zmvf9maphetc9z - una dirección de criptomoneda asociada a Khoroshev.

Según TRM Labsla dirección sancionada por la OFAC está asociada a cientos de otras direcciones relacionadas con Khoroshev. Khoroshev movía fondos a través de una cadena de pelado, realizando múltiples depósitos en diferentes bolsas mundiales.

‍

‍

El papel de Khoroshev como líder y desarrollador de LockBit

Según la designación de hoy, Khoroshev es el principal operador del conocido y público grupo de ciberdelincuentes relacionado con LockBit, "LockBitSupp". Como uno de los principales líderes del grupo LockBit y desarrollador del ransomware LockBit, Khoroshev ha desempeñado diversas funciones operativas y administrativas para el grupo de ciberdelincuentes, y se ha beneficiado económicamente de los ataques del ransomware LockBit. Además, Khoroshev ha facilitado la actualización de la infraestructura de LockBit, ha reclutado nuevos desarrolladores para el ransomware y ha gestionado las filiales de LockBit. También es responsable de los esfuerzos de LockBit para continuar sus operaciones tras su interrupción por Estados Unidos y sus aliados a principios de este año.

Impacto económico de LockBit 

Desde enero de 2020, LockBit ha sido la variante de ransomware más desplegada en el mundo, con afiliados que atacan a organizaciones de distintos tamaños en toda una serie de sectores de infraestructuras críticas, como servicios financieros, alimentación y agricultura, educación, energía, servicios gubernamentales y de emergencia, sanidad, fabricación y transporte. Algunos de los ataques más destacados de LockBit son los perpetrados contra Entrust (junio de 2022), la Agencia Tributaria Italiana (julio de 2022), Royal Mail (enero de 2023), IBM (mayo de 2023), Carthage Area Hospital & the Clayton-Hepburn Medical Center (septiembre de 2023) y Boeing (noviembre de 2023).

El coste económico de estos ataques va mucho más allá del pago inicial del rescate e incluye pérdidas por interrupción de las operaciones y daños a la reputación. El informe Cost of a Data Breach Report 2023 de IBM ha calculado que el coste medio de una violación de datos causada por un ataque de ransomware , sin incluir el pago del rescate, es de 4,45 millones de USD. LockBit ha cometido más de 2.000 ataques confirmados, lo que sugiere que su impacto económico podría superar los 8.000 millones de dólares. 

LockBit ha evolucionado de ABCD a LockBit Green

LockBit surgió en 2019 como una evolución del ransomware ABCD. Sus versiones han evolucionado a lo largo de los años: de LockBit a LockBit 2.0, también conocido como LockBit Red, a LockBit 3.0, también conocido como LockBit Black, y a LockBit Green, que incorpora código fuente del ransomware Conti. Esta última variante incluye un programa de recompensas por errores, criptomonedas con privacidad mejorada (por ejemplo, Zcash) y nuevos métodos de extorsión, que incorporan estrategias de las operaciones de ransomware BlackMatter y DarkSide. Esta versión, equipada con técnicas antidetección y ejecución sin contraseña, también introdujo ataques de denegación de servicio para ampliar las capacidades y tácticas de LockBit para extorsionar a las víctimas.

LockBit ha ampliado su impacto con incentivos a los afiliados 

El modelo operativo de LockBit como grupo RaaS ha sido un motor clave para la escala de impacto y notoriedad que el grupo ha alcanzado. LockBit se ha distinguido en el mercado RaaS por la forma en que ha incentivado a los afiliados a utilizar las herramientas y la infraestructura de LockBit para ejecutar ataques. Estos incentivos han incluido garantizar que los afiliados reciban primero su parte de los pagos de los rescates, recompensar la actividad promocional y las críticas públicas a las plataformas RaaS de la competencia, y simplificar el despliegue de ransomware con interfaces fáciles de usar.

Tácticas, técnicas y procedimientos (TTP) de LockBit

Los ataques de ransomware de LockBit suelen implicar el acceso inicial mediante la explotación de vulnerabilidades, phishing o forzamiento brusco de protocolos de escritorio remoto. Una vez dentro de la red, los actores de LockBit han utilizado herramientas como PowerShell Empire, Cobalt Strike y PsExec para el movimiento lateral y para preparar el cifrado. A menudo borran los registros para dificultar la capacidad de recuperación de la víctima. Los actores de LockBit, junto con cepas de ransomware como Rorschach y Babuk, utilizan con frecuencia una técnica llamada cifrado intermitente, que se centra sólo en partes de los archivos para realizar ataques más rápidos y eficaces. Al minimizar la duración de la fase visible del ataque, los agresores aumentan sus probabilidades de éxito frente a las defensas de ciberseguridad.

Una vez que LockBit cifra los datos, los autores de la amenaza ordenan a las víctimas que paguen un rescate por las claves de descifrado. El grupo de ransomware también opera un sitio de filtraciones donde publica información sobre sus víctimas. Este sitio se utiliza como parte de una táctica de doble extorsión: si una víctima se niega a pagar el rescate, LockBit amenaza con publicar sus datos robados en esta plataforma pública. El sitio de filtraciones sirve como herramienta para presionar a las víctimas para que cumplan con las peticiones de rescate mediante la exposición pública de información sensible, lo que aumenta los riesgos operativos y de reputación para las organizaciones afectadas.

LockBit ha utilizado Bitcoin como criptomoneda principal para facilitar el pago de rescates, pero con la evolución de LockBit 3.0, el grupo ha introducido opciones de pago con privacidad mejorada, como ZCash, tanto para cobrar a las víctimas como para pagar a sus afiliados.

El análisis en cadena de la actividad de LockBit pone de relieve la estructura operativa del grupo, en la que los pagos iniciales de rescate de las víctimas sufren una división financiera: el 80% va al afiliado de LockBit y el 20% a los administradores de LockBit. Posteriormente, los operadores de LockBit han utilizado Wasabi 2.0 para mezclar fondos y múltiples intercambios no custodiados y VASP centralizados en Estados Unidos y Asia para blanquear los fondos de las víctimas.

‍

‍

‍

El papel de Inteligencia en Blockchain en la disrupción Ransomware 

El ataque de hoy continúa la serie de ataques a los que las fuerzas de seguridad de todo el mundo han dado prioridad, ya que el ransomware sigue representando una amenaza para los ciudadanos y las empresas. Dada la naturaleza en constante evolución y el incesante coste económico de esta amenaza, esperamos seguir viendo un fuerte enfoque en la interrupción de los actores de amenazas de ransomware . 

Mientras que los grupos de ransomware pueden evolucionar sus TTPs y nombres, el blockchain sigue siendo un libro de contabilidad inmutable. Las herramientas de Inteligencia en Blockchain seguirán desempeñando un papel clave a la hora de permitir incautaciones y detener a los malos actores. 

TRM se enorgullece de apoyar al Tesoro, al DOJ, a la NCA y a los organismos encargados de la aplicación de la ley de todo el mundo en sus continuos esfuerzos por salvaguardar la integridad de nuestros sistemas financieros.