Una captura de pantalla del sitio del grupo cibernético ‘Lockbit’
La repentina caída de un proveedor de ransomware una vez descrito como el grupo de delito cibernético más dañino del mundo ha planteado preguntas sobre el papel de Moscú en su desarrollo y el destino de su fundador.
Lockbit suministró ransomware a una red global de piratas informáticos, que utilizaron los servicios en los últimos años para atacar a miles de objetivos en todo el mundo y recaer en decenas de millones de dólares.
El ransomware es un tipo de software malicioso, o malware, que roba datos y evita que un usuario acceda a archivos o redes de computadora hasta que se pague un rescate por su devolución.
Lockbit proporcionó a una red mundial de hackers las herramientas e infraestructura para llevar a cabo ataques, comunicarse con las víctimas, almacenar la información robada y lavar las criptomonedas.
Según el Departamento de Estado de EE. UU., Entre 2020 y principios de 2024, el ransomware Lockbit llevó a cabo ataques a más de 2,500 víctimas en todo el mundo.
Emitió demandas de rescate por valor de cientos de millones de dólares y recibió al menos $ 150 millones en pagos de rescate reales realizados en forma de moneda digital.
Pero Lockbit recibió su primer golpe devastador en febrero de 2024 cuando la Agencia Nacional de Delitos Británicos (NCA), trabajando con el FBI de EE. UU. Y varias otras naciones, anunció que se había infiltrado en la red del grupo y tomó el control de sus servicios.
Más tarde ese año, la NCA anunció que había identificado al líder de Lockbit como un ruso llamado Dmitry Khoroshev (alias Lockbitsupp).
El Departamento de Estado de los Estados Unidos dijo que estaba ofreciendo una recompensa de hasta $ 10 millones por información que condujo a su arresto.
Lockbit, que la NCA dijo que fue “una vez que el grupo de delitos cibernético más dañinos del mundo”, buscó adaptarse mediante el uso de diferentes sitios.
Pero a principios de este año sufrió una violación aún más devastadora y recibió una muestra de su propia medicina.
Sus sistemas fueron pirateados y algunos de sus datos robados en un ataque cuyos orígenes fueron misteriosos y, inusualmente, en el mundo del delito cibernético nunca han sido reclamados.
“No hagas crimen. El crimen es malo. Xoxo de Praga”, dijo un mensaje críptico escrito en el sitio web que había estado usando.
‘Otros vuelven a crecer’
“Lockbit era el número uno. Estaba en modo de supervivencia y recibió otro golpe” con la fuga, dijo Vincent Hinderer, gerente del equipo de inteligencia de amenazas cibernéticas con Orange CyberDefense.
“No todos los miembros del grupo han sido arrestados. Otros ciberdelincuentes menos experimentados pueden unirse”, agregó.
Sin embargo, las observaciones de chats en línea, negociaciones y billeteras de divisas virtuales indican “ataques con pequeños rescates y, por lo tanto, un retorno de la inversión relativamente bajo”, dijo.
Un funcionario de ciberdeligros francés, que pidió no ser nombrado, dijo que la caída de Lockbit de ninguna manera representaba el final del delito cibernético.
“Puedes dibujar un paralelo con el contraterrorismo. Cortas una cabeza y otros vuelven a crecer”.
El equilibrio de potencia también cambia rápidamente.
Otros grupos están reemplazando a Lockbit, que los analistas dijeron que fue responsable en 2023 por el 44% de los ataques de ransomware en todo el mundo.
“Algunos grupos logran una posición dominante y luego caen en desuso porque renuncian por su cuenta, son desafiados o hay un colapso en la confianza que les hace perder a sus parejas”, dijo Hinderer.
“Conti era el líder, luego Lockbit, luego Ransomhub. Hoy, otros grupos están recuperando el liderazgo. Los grupos que estaban en los cinco primeros o top 10 están aumentando, mientras que otros están cayendo”.
En un giro extraño, la fuga de datos de Lockbit reveló que uno de sus afiliados había atacado a una ciudad rusa de 50,000 habitantes.
Lockbit inmediatamente ofreció el software de descifrado de la ciudad, un antídoto del veneno.
Pero no funcionó, dijo el funcionario francés a la AFP.
“Se informó al FSB (Servicio de Seguridad), quien resolvió en silencio el problema”, dijo el funcionario.
‘Complicit’
Una cosa parece estar clara: el campo está dominado por el mundo de habla rusa.
Entre los 10 principales proveedores de servicios de delitos cibernéticos, “hay dos grupos chinos”, dijo un alto ejecutivo que trabaja en el delito cibernético en el sector privado.
“Todos los demás son de habla rusa, la mayoría de ellos todavía ubicados físicamente en Rusia o sus satélites”, dijo el ejecutivo, quien también solicitó el anonimato.
Es más difícil determinar qué papel podría desempeñar el estado ruso, una cuestión aún más pertinente desde la invasión de Ucrania en 2022 de Moscú.
“No podemos decir que los grupos estén patrocinados por el estado ruso, pero la impunidad que disfrutan es suficiente para hacerlo cómplice”, argumentó el funcionario francés, señalando una “porosidad” entre los grupos y los servicios de seguridad.
El paradero y el estado de Khoroshev también son un misterio.
El aviso de la recompensa del Departamento de Estado de los Estados Unidos, que dijo que Khoroshev tenía 32 años, da su fecha de nacimiento y número de pasaporte, pero dice que su altura, peso y color de los ojos son desconocidos.
Su imagen buscada muestra a un hombre intenso con cabello recortado y antebrazos musculares abultados.
“Mientras no salga de Rusia, no será arrestado”, dijo el experto en el sector privado. “(Pero) no estamos seguros de que esté vivo”.
“El estado ruso deja que los grupos hagan lo que quieran. Está muy contento con esta forma de acoso continuo”, alegó.
En el pasado, había cierta cooperación entre Washington y Moscú sobre el delito cibernético, pero todo esto cambió con la invasión rusa de Ucrania.
El experto francés Damien Bancal cita el caso de Sodinokibi, un grupo de piratas informáticos también conocido como Revil, que fue desmantelado en enero de 2022.
“El FBI ayudó al FSB a arrestar al grupo. Durante los arrestos, encontraron bares de oro y sus colchones estaban llenos de efectivo”, dijo.
Pero desde la invasión de Ucrania, “nadie está cooperando con nadie más”.
Cuando se le preguntó si Estados Unidos ha interrogado a Moscú sobre Khoroshev después de que la recompensa fue colocada sobre su cabeza, el portavoz de Kremlin, Dmitry Peskov, dijo: “Desafortunadamente, no tengo información”.
© 2025 AFP
Cita: ‘Besos de Praga’: La caída de un gigante de ransomware ruso (2025, 27 de mayo) Recuperado el 27 de mayo de 2025 de https://techxplore.com/news/2025-05-Prague-Fall-russian-ransomware-giant.html
Este documento está sujeto a derechos de autor. Además de cualquier trato justo con el propósito de estudio o investigación privada, no se puede reproducir ninguna parte sin el permiso por escrito. El contenido se proporciona solo para fines de información.
