Las fuerzas del orden anunciaron el martes más arrestos e interrupciones en la infraestructura utilizando sitios web del grupo de ransomware LockBit previamente incautados.
Europol, el Reino Unido y los EE. UU. emitieron comunicados de prensa además de anuncios anteriores en el sitio LockBit. Europol anunció nuevas acciones coercitivas, incluido el arresto de un presunto desarrollador de Rockbit que respondió a una solicitud francesa mientras estaba de vacaciones fuera de Rusia, y el arresto de dos personas en el Reino Unido que apoyaron las actividades de empresas relacionadas con Rockbit.
En España, la policía arrestó al presunto administrador del servicio de hosting Bulletproof, lo que permitió a las autoridades confiscar nueve servidores que formaban parte de la infraestructura LockBit. Según las autoridades, el sospechoso es “uno de los promotores clave de la infraestructura de Rockbit” y la información que obtuvieron ayudará a procesar a los principales miembros y afiliados de la empresa de delitos cibernéticos.
Sin embargo, el anuncio más importante se refiere a la revelación de la identidad del ciudadano ruso Alexander Viktorovich Ryzhenkov, de 31 años. Las autoridades dicen que el individuo no solo está afiliado a Rockbit, sino también miembro de la notoria organización cibercriminal con fines de lucro Evil Corp. También lleva a cabo ciberespionaje en nombre del gobierno ruso.
“Rizhenkov utilizó el nombre de afiliado Beverley y creó más de 60 piezas de ransomware LockBit, intentando extorsionar al menos 100 millones de dólares a las víctimas con demandas de rescate. Además, Ryzhenkov está asociado con el alias mx1r y tiene un UNC2165 ( “versiones evolucionadas de Evil Corp. -actores afiliados),”, dijeron las autoridades.
El Departamento de Justicia de Estados Unidos anunció cargos contra Ryzhenkov el martes, pero no por el ataque Rockbit. En cambio, fue acusado del ataque de ransomware BitPaymer.
Ryzhenkov es uno de los 16 presuntos miembros de la malvada organización sancionada por Estados Unidos, Gran Bretaña y Australia el martes. Las sanciones también apuntan a Maxim Yakubets, supuestamente el líder de la malvada organización y que ofrece una recompensa de 5 millones de dólares por su cabeza. Las autoridades afirman que Ryzhenkov es la mano derecha de Yakubets.
Según la agencia gubernamental, la Operación LockBit afectó a más de 2.500 organizaciones en más de 120 países.
anuncio publicitario. Desplázate para seguir leyendo.
Los organismos encargados de hacer cumplir la ley en los Estados Unidos, el Reino Unido y varios otros países anunciaron en febrero de 2024 que el ransomware LockBit había sido gravemente interrumpido como parte de la Operación Kronos, que implicó incautaciones y arrestos de servidores.
En ese momento, el dominio Tor utilizado por la banda LockBit para nombrar a las víctimas y filtrar información robada fue asumido por la Agencia Nacional contra el Crimen (NCA) del Reino Unido y utilizado para hacer anuncios relacionados con la operación Ta.
A principios de mayo, las autoridades anunciaron que habían descubierto la identidad del cerebro detrás de la operación de delito cibernético. Los investigadores han identificado a Dimitry Yuryevich Khoroshev, residente de Voronezh, Rusia, como el administrador de LockBit conocido en línea como LockBitSupp, y el Departamento de Justicia de Estados Unidos ha anunciado cargos en su contra.
Khoroshev está acusado de crear y operar Rockbit y de recibir más de 100 millones de dólares de los más de 500 millones de dólares que las empresas afiliadas recibieron de las víctimas. Hay una recompensa de hasta 10 millones de dólares por información sobre Khoroshev.
Posteriormente, dos filiales de Rockbit fueron acusadas en Estados Unidos y se declararon culpables.
A pesar de las acciones tomadas por las autoridades, LockBit parece no haber detenido sus ataques y pronto creó nuevos sitios web comprometidos y continuó apuntando a organizaciones.
De hecho, LockBit volvió a convertirse en la campaña de ransomware más activa en mayo, pero algunos expertos se preguntan si se trata de un aumento real de ataques o de una cortina de humo destinada a ocultar la verdadera naturaleza de la empresa criminal.
De hecho, el número de ataques reclamados por LockBit disminuyó significativamente en junio, julio y agosto. En junio, los ciberdelincuentes anunciaron que habían pirateado la Reserva Federal de Estados Unidos, pero también filtraron datos de una empresa de servicios financieros más pequeña. Parece que este fue el último anuncio importante.
SecurityWeek revisó los sitios web filtrados de LockBit el 30 de septiembre y los encontró todos fuera de línea. Este hecho fue confirmado por el investigador Dominic Alvieri, que ha estado siguiendo de cerca los ataques de ransomware durante los últimos años. Sin embargo, Alvieri notó en algún momento durante el día que el sitio de filtración reciente de LockBit estaba nuevamente en línea pero no se había actualizado desde el 29 de mayo.
Una de las publicaciones publicadas por la NCA en el sitio web de LockBit el martes, titulada “El fin de LockBit después de febrero de 2024”, afirma que la acción policial contra LockBit fue exitosa y que los ciberdelincuentes sufrieron un duro golpe.
“Rockbit perdió afiliados, algunos de los cuales pueden haberse trasladado a otros proveedores de ransomware como servicio como resultado de la interrupción de la Operación Kronos”, dijo la NCA. “Es casi seguro que el grupo LockBit Ransomware-as-a-Service ha recurrido a la clonación de sus supuestas víctimas para aumentar su número y ocultar el impacto de la Operación Kronos. De la gran cantidad de víctimas reportadas, dos tercios son completas mentiras. por LockBit (¡sorpresa!), y el tercio restante no puede ser verificado como víctimas reales.
“La reputación de LockBit se ha visto empañada por la interrupción de la Operación Kronos y, como resultado, sus intentos de recuperación se han visto socavados. El impacto financiero de esta interrupción no solo afectó a Dmitry Khoroshev, también conocido como LockBitSupp, sino que también privó a los actores de amenazas de su poder. fondos”, añadió la agencia.
RELACIONADO: Hawaii Health Center revela violación de datos después de un ataque de ransomware
Relacionado: Microsoft: los entornos en la nube de las organizaciones estadounidenses son objeto de ataques de ransomware
RELACIONADO: Un hacker exige 6 millones de dólares por archivos robados al operador del aeropuerto de Seattle en un ciberataque
https://packetstormsecurity.com/news/view/36419/More-LockBit-Hackers-Arrested-Unmasked-As-Servers-Siezed.html
