La Agencia Nacional contra el Crimen (NCA), junto con las agencias globales asociadas que participaron en la Operación Cronos, la operación contra la banda de ransomware LockBit, han nombrado formalmente al líder, administrador y desarrollador clave del equipo LockBitSupp, como Dmitry Khoroshev.
Khoroshev, que en un momento se burló de sus perseguidores ofreciendo una recompensa de 10 millones de dólares a cualquiera que pudiera revelar su verdadera identidad, estará sujeto a una serie de congelaciones de activos y prohibiciones de viaje, y hoy también ha sido acusado en Estados Unidos de 26 cargos relacionados con fraude, daños a computadoras protegidas y extorsión. Las autoridades estadounidenses también ofrecen una recompensa multimillonaria por información que pueda conducir a su arresto y extradición.
“Estas sanciones son enormemente importantes y demuestran que no hay escondite para los ciberdelincuentes como Dmitry Khoroshev, que causan estragos en todo el mundo. Estaba seguro de que podía permanecer en el anonimato, pero se equivocó”, afirmó el director de la NCA, Graeme Biggar.
“Sabemos que nuestro trabajo para perturbar LockBit hasta ahora ha tenido mucho éxito en degradar su capacidad y credibilidad entre la comunidad criminal. El intento del grupo de reconstruirse ha resultado en una empresa mucho menos sofisticada con un impacto significativamente reducido.
“El anuncio de hoy pone otro gran clavo en el ataúd de LockBit y nuestra investigación sobre ellos continúa. Ahora también estamos apuntando a afiliados que han utilizado los servicios de LockBit para infligir devastadores ataques de ransomware en escuelas, hospitales y empresas importantes de todo el mundo”, dijo Biggar.
“Al trabajar con nuestros socios internacionales, utilizaremos todas las herramientas a nuestra disposición para atacar a otros grupos como LockBit, exponer su liderazgo y socavar sus operaciones para proteger al público”, añadió.
La operación contra la famosa banda de ransomware LockBit, Operación Cronos, se desarrolló el 19 de febrero de 2024 en una operación dirigida por la NCA en la que la agencia se infiltró en su red y se hizo cargo de sus servicios, incluido su sitio de filtración en la web oscura.
La NCA dijo hoy que la operación de ransomware como servicio llevó a cabo más de 7.000 ataques cibernéticos entre junio de 2022 y febrero de 2025, y las víctimas incluyeron más de 100 hospitales y organizaciones de atención médica, y al menos 2.110 víctimas se vieron obligadas a algún grado de negociación.
De los 194 afiliados identificados que utilizaban los servicios de LockBit hasta febrero de 2024, esta cifra ahora se ha reducido a 69 mientras el grupo lucha por reconstruirse. De esos afiliados activos, 148 llevaron a cabo ataques y 119 participaron en negociaciones con las víctimas, aunque hasta 114 afiliados, que habrían pagado miles de dólares para unirse al programa de LockBit, nunca ganaron dinero con su criminalidad.
También agregó que había encontrado múltiples casos en los que el descifrador proporcionado por LockBit a las víctimas que pagaron nunca funcionó, y muchos otros en los que LockBit no cumplió su “promesa” de eliminar los datos robados una vez pagado.
La NCA dijo que ahora estaba en posesión de más de 2500 claves de descifrado y continuaba contactando a las víctimas de LockBit para ofrecerles apoyo. Hasta ahora ha identificado y contactado con 240 víctimas en el Reino Unido.
La reconstrucción de LockBit no va bien
Mientras tanto, el intento del grupo de reconstruirse durante los últimos meses parece estar yendo mal, ya que la pandilla todavía opera a una capacidad limitada y su nuevo sitio de filtración se utiliza para dar publicidad a las víctimas atacadas antes del derribo, además de tratar de atribuirse el mérito. por los crímenes de otros.
Los últimos datos de la NCA sugieren que el número de ataques mensuales de LockBit en el Reino Unido se ha reducido en un 73 % desde finales de febrero, y los ataques que se están produciendo están siendo llevados a cabo por actores menos sofisticados y con mucho menos impacto.
“Desde que la Operación Cronos tomó medidas disruptivas, BloquearBit ha estado luchando para reafirmar su dominio y, lo más importante, su credibilidad dentro de la comunidad de cibercriminales”, dijo Don Smith, vicepresidente de la Unidad Contra Amenazas de SecureWorks.
“El elemento psicológico de la acción adoptada por las fuerzas del orden fue extremadamente eficaz; los esfuerzos del grupo por restablecer su reputación anterior no han ido especialmente bien. El desenmascaramiento de hoy de Dmitry Khoroshev alias BloquearBit Supp, demuestra la capacidad de las fuerzas del orden para negar a los ciberdelincuentes el manto de seguridad del anonimato y ponerlos en riesgo de ser arrestados y procesados si viajan fuera de su país de origen”.