La UCO detiene en Barajas a uno de los cabecillas del mayor grupo de hackers rusos del mundo

Según ha podido conocer EL ESPAÑOL de fuentes de la investigación, el arrestado es de nacionalidad bielorrusa. Fue interceptado en el aeropuerto de Barajas cuando se disponía a viajar a Dubái, tras pasar unos días en Ibiza.

La detención se produjo en mayo. A raíz de ese arresto, gracias a lo que se ha extraído se han podido producir arrestos en otros lugares del mundo. 

La operación ha conseguido asestar un nuevo golpe al grupo de ransomware más activo en la actualidad. Los agentes de la UCO en el marco de sus investigaciones contra distintos ataques del ransomware Lockbit 3.0, fueron capaces de identificar a uno de los actores más relevantes dentro de la infraestructura del grupo Lockbit.

Según autoridades como el FBI, Lockbit es un grupo de origen ruso dedicado a la ciberdelincuencia en todo el mundo. No está acreditada su relación con el Kremlin o con los servicios de inteligencia de Putin, pero el gobierno de Estados Unidos lo tiene en su punto de mira desde 2019 por los ciberataques que ha ido perpetrando en distintos países occidentales.

De esta manera, la Guardia Civil ha conseguido identificar y detener al administrador del proveedor de servicios de internet empleado por este grupo criminal. Este era conocido por ofrecer anonimato y privacidad a sus clientes, así como por su falta de cooperación con las autoridades policiales y judiciales, frecuentemente mencionado e incluso publicitado en foros de cibercriminales.

Con la detención del propietario del citado proveedor de servicios denominado "Bullet Proof Hosting", se consiguió acceder e incautar nueve servidores relevantes de la infraestructura de Lockbit.

Gracias a ello se obtuvo información crucial para identificar a los principales miembros y afiliados del grupo de hackers, continuándose en la actualidad con el análisis de la información recabada.

Se han cortado con esta operación muchos ataques, pero lo bueno se que da también de cara al futuro es que se ha conseguido descubrir cómo se cifran los archivos para poder descifrarlos con mayor agilidad. 

Operación

La investigación en la que ha participado el Instituto Armado se ha llevado a cabo a nivel internacional. Ha estado coordinada por la NCA de Reino Unido, el FBI de Estados Unidos y Europol. Han participado la Gendarmería Nacional de Francia, varias unidades policiales de Alemania, la Unidad de Cibercrimen de Países Bajos, la Policía de Suecia, la Policía Federal de Australia, la Policía de Japón, la Policía de Suiza, y la Real Policía Montada de Canadá.

Dentro de la constante lucha contra los principales actores internacionales que amenazan la ciberseguridad, y la continua asfixia a la que se somete a estas organizaciones criminales por parte de las Fuerzas y Cuerpos de Seguridad de los distintos países, varias agencias han unido fuerzas y aunado capacidades para desarrollar una acción conjunta contra una de los principales grupos criminales en el ámbito del cibercrimen.

No en vano, el grupo Lockbit realiza ataques tanto a organismos públicos como empresas privadas en los principales países de todo el mundo. Con la información de la que disponía cada cuerpo policial, y gracias al intercambio fluido de la misma, se ha conseguido coordinar una actuación conjunta a nivel mundial que ha permitido generar una inteligencia de gran valor acerca del principal grupo de ransomware a nivel mundial, y así poder actuar de forma eficiente contra el mismo.

Este grupo criminal es pionero en cuanto a la explotación de los modelos de "ransomware como servicio" (ransomware as a service), que facilitaron el crecimiento del cibercrimen, haciéndolo accesible a personas sin conocimientos técnicos avanzados.

A pesar de las sofisticadas medidas utilizadas por estos criminales durante años para ocultar sus identidades y conexiones, la cooperación policial internacional ha permitido conocer su estructura, modus operandi e identificar a un gran número de sus integrantes.

Identificado

El pasado mes de febrero, hasta 11 países colaboraron para confiscar los sistemas de este peligroso grupo de cibercriminales al que se le atribuyen el mayor número de ataques por todo el mundo. Muchos de ellos perpetrados en España.

Aquella fue la llamada Operación Cronos. Meses después los investigadores de distintos países occidentales consiguieron identificar al máximo responsable, aunque no se conocía su paradero. Se trataba de Dmitry Khoroshev, un hombre de nacionalidad rusa

El Departamento de Justicia de los Estados Unidos ofreció 10 millones de dólares por cualquier pista que pueda facilitar la detención de Khoroshev. A este hacker se le acusa de 26 cargos penales como líder de la organización que, desde su nacimiento en 2019, habría conseguido más de 100 millones de dólares en rescates por sus ataques a miles de víctimas.

Khoroshev, según las investigaciones en Estados Unidos, desarrolló, promovió y supervisó el software LockBit. Después reclutaría "afiliados" en foros de ciberdelincuentes para que estos llevaran a cabo los ataques de ransomware. Una vez las víctimas pagaban el rescate, generalmente en bitcoins (BTC), Khoroshev recibían un 20% de sus ganancias.

Este hacker acumula cargos de conspiración para cometer fraude, extorsión y actividades relacionadas ciberdelincuencia, así como cargos por extorsión en relación con información ilegal obtenida de un ordenador protegido, entre otros. Por ello, se enfrenta a una pena máxima de 185 años de prisión.