Una operación de la Unidad Central Operativa (UCO) de la Guardia Civil ha finalizado con la detención de uno de los hombres fundamentales del grupo Lobckbit 3.0, la principal organización hacker del mundo, autor de ciberataques en más de dosy 120 países para 2.500 empresas, personas e instituciones.
Según ha podido saber EL ESPAÑOL de fuentes de la investigación, el detenido es de nacionalidad bielorrusa. Fue interceptado en el aeropuerto de Barajas cuando se disponía a viajar a Dubái, tras pasar unos días en Ibiza.
El arresto se produjo en mayo. A raíz de esa detención, gracias a lo extraído, se han realizado detenciones en otros lugares del mundo.
La operación ha logrado entregar un nuevo golpe al grupo de ransomware más activo en la actualidad. Los agentes de la UCO en el marco de sus investigaciones contra diferentes ataques por parte de la ransomware Lockbit 3.0, pudieron identificar a uno de los actores más relevantes dentro de la infraestructura del grupo Lockbit.
Según autoridades como el FBI, Lockbit es un grupo de origen ruso dedicado al cibercrimen en todo el mundo. Su relación con el Kremlin ni con los servicios de inteligencia de Putin no está probada, pero el gobierno de Estados Unidos le tiene en el punto de mira desde 2019 debido a los ciberataques que viene perpetrando en distintos países occidentales.
De esta forma, la Guardia Civil ha conseguido identificar y detener al administrador del proveedor de servicios de internet empleado por este grupo criminal. Este se caracterizaba por ofrecer anonimato y privacidad a sus clientes, así como por su falta de cooperación con las autoridades policiales y judiciales, frecuentemente mencionada e incluso publicitada en foros de cibercriminales.
Con la detención del propietario del mencionado prestador de servicios denominado «Alojamiento a prueba de balas«, Se accedió y se incautaron nueve servidores relevantes de la infraestructura de Lockbit.
Gracias a esto se obtuvo información crucial para identificar a los principales miembros y afiliados del grupo hacker, y actualmente se continúa con el análisis de la información recopilada.
Se han detenido muchos ataques con esta operación, pero lo bueno que sé que también da para el futuro es que se ha podido descubrir cómo se cifran los archivos para poder descifrarlos más rápidamente.
Operación
Las investigaciones en las que ha participado el Instituto Armado han sido realizadas a nivel internacional. Ha sido coordinado por la NCA del Reino Unido, el FBI de Estados Unidos y Europol. Han participado la Gendarmería Nacional de Francia, varias unidades policiales de Alemania, la Unidad de Delitos Cibernéticos de los Países Bajos, la Policía Sueca, la Policía Federal Australiana, la Policía Japonesa, la Policía Suiza y la Real Policía Montada de Canadá. .
Dentro de la lucha constante contra los principales actores internacionales que amenazan la ciberseguridad, y la continua asfixia a la que son sometidas estas organizaciones criminales por parte de las Fuerzas y Cuerpos de Seguridad de los distintos países, varios organismos han unido fuerzas y combinado capacidades para desarrollar acciones conjuntas contra uno de los principales grupos criminales en el ámbito del cibercrimen.
No en vano, el grupo Lockbit lleva a cabo ataques tanto a organizaciones públicas como a empresas privadas en los principales países del mundo. Con la información de que dispone cada cuerpo policial, y gracias a su fluido intercambio, se ha podido coordinar una acción conjunta a nivel global que ha permitido generar una información valiosa sobre el grupo principal de ransomware en todo el mundo, y así poder actuar eficazmente contra él.
Este grupo criminal es pionero en la explotación de «ransomware como un servicio» (ransomware como servicio), lo que facilitó el crecimiento del cibercrimen, haciéndolo accesible a personas sin conocimientos técnicos avanzados.
A pesar de las sofisticadas medidas utilizadas por estos delincuentes durante años para ocultar sus identidades y conexiones, la cooperación policial internacional ha permitido conocer su estructura, modus operandi e identificar a un gran número de sus miembros.
Identificado
El pasado mes de febrero, hasta 11 países colaboraron para confiscar los sistemas de este peligroso grupo de ciberdelincuentes al que se atribuyen el mayor número de ataques a nivel mundial. Muchos de ellos perpetrados en España.
Esa fue la llamada Operación Cronos. Meses después, investigadores de diferentes países occidentales lograron identificar a los mayores responsablesaunque se desconocía su paradero. se trataba de Dmitri Khoroshevun hombre de nacionalidad rusa
El Departamento de Justicia de Estados Unidos ofreció 10 millones de dólares por cualquier pista podría facilitar el arresto de Khoroshev. Este hacker está acusado de 26 cargos penales como líder de la organización que, desde su nacimiento en 2019, habría obtenido más de 100 millones de dólares en rescates por sus ataques a miles de víctimas.
Khoroshev, según investigaciones en Estados Unidos, desarrolló, promovió y supervisó el software LockBit. Luego reclutaba «afiliados» en foros de ciberdelincuentes para que pudieran llevar a cabo los ataques. ransomware. Una vez que las víctimas pagaron el rescate, generalmente en bitcoins (BTC), Khoroshev recibió el 20% de sus ganancias..
Este hacker acumula cargos de conspiración para cometer fraude, extorsión y actividades relacionadas con delitos cibernéticos, así como cargos de extorsión en relación con información ilegal obtenida de una computadora protegida, entre otros. Por lo tanto, enfrenta una sentencia máxima de 185 años de prisión.