Una nueva ola de acciones policiales internacionales ha dado lugar a cuatro arrestos y la caída de nueve servidores vinculados a la operación de ransomware LockBit (también conocido como Bitwise Spider), lo que marca la última salva contra lo que alguna vez fue un prolífico grupo con motivaciones financieras.
Esto incluye el arresto de un presunto desarrollador de LockBit en Francia mientras estaba de vacaciones fuera de Rusia, dos personas en el Reino Unido que supuestamente apoyaban a un afiliado y un administrador de un servicio de hosting a prueba de balas en España utilizado por el grupo de ransomware Europol. dicho en un comunicado.
En conjunto, las autoridades descubrieron a un ciudadano ruso llamado Aleksandr Ryzhenkov (también conocido como Beverley, Corbyn_Dallas, G, Guester y Kotosel) como uno de los miembros de alto rango del grupo de cibercrimen Evil Corp, al mismo tiempo que lo presenta como un afiliado de LockBit. También se han anunciado sanciones contra siete personas y dos entidades vinculadas a la banda de delitos electrónicos.
“Estados Unidos, en estrecha coordinación con nuestros aliados y socios, incluso a través de la Iniciativa Contra el Ransomware, seguirá exponiendo y desbaratando las redes criminales que buscan ganancias personales a partir del dolor y el sufrimiento de sus víctimas”. dicho Subsecretario interino del Tesoro para Terrorismo e Inteligencia Financiera, Bradley T. Smith.
El desarrollo, parte de un ejercicio colaborativo denominado Operación Cronos, se produce casi ocho meses después de que se confiscara la infraestructura en línea de LockBit. También sigue a las sanciones impuestas contra Dmitry Yuryevich Khoroshev, quien se reveló como el administrador y la persona detrás de la personalidad “LockBitSupp”.
Un total de 16 personas que formaban parte de Evil Corp han sido sancionado por el Reino Unido También rastreado como Gold Drake e Indrik Spider, el infame equipo de piratería ha estado activo desde 2014, apuntando a bancos e instituciones financieras con el objetivo final de robar las credenciales de los usuarios y la información financiera para facilitar transferencias de fondos no autorizadas.
Se ha observado anteriormente que el grupo, responsable del desarrollo y distribución del malware Dridex (también conocido como Bugat), implementó LockBit y otras cepas de ransomware en 2022 para eludir las sanciones impuestas contra el grupo en diciembre de 2019, incluidos miembros clave Maksim Yakubets y Ígor Turashev.
Ryzhenkov ha sido descrito por la Agencia Nacional contra el Crimen (NCA) del Reino Unido como la mano derecha de Yakubets, y el Departamento de Justicia de Estados Unidos (DoJ) acusando él de implementar el ransomware BitPaymer para atacar a víctimas en todo el país desde al menos junio de 2017.
“Ryzhenkov utilizó el nombre de afiliado Beverley, creó más de 60 compilaciones de ransomware LockBit y trató de extorsionar al menos 100 millones de dólares a las víctimas en demandas de rescate”, dijeron los funcionarios. “Ryzhenkov además ha sido vinculado con el alias mx1r y asociado con UNC2165 (una evolución de los actores afiliados a Evil Corp)”.
Además, el hermano de Ryzhenkov, Sergey Ryzhenkov, que se cree que utiliza el alias en línea Epoch, ha sido vinculado a BitPaymer, según la firma de ciberseguridad Crowdstrike, que ayudó a la NCA en el esfuerzo.
“A lo largo de 2024, Indrik Spider obtuvo acceso inicial a múltiples entidades a través del servicio de distribución de malware Fake Browser Update (FBU)”, anotado. “El adversario fue visto por última vez implementando LockBit durante un incidente que ocurrió durante el segundo trimestre de 2024”.
Entre las personas sometidas a sanciones se destacan el padre de Yakubets, Viktor Yakubets, y su suegro, Eduard Benderskiy, ex funcionario de alto rango del FSB, lo que subraya la profunda conexión entre los grupos de cibercrimen rusos y el Kremlin.
“El grupo se encontraba en una posición privilegiada, y algunos de sus miembros tenían estrechos vínculos con el Estado ruso”, afirma la ANC. dicho. “Benderskiy fue un facilitador clave de su relación con los Servicios de Inteligencia rusos quienes, antes de 2019, encargaron a Evil Corp llevar a cabo ciberataques y operaciones de espionaje contra los aliados de la OTAN”.
“Después de las sanciones y acusaciones de Estados Unidos en diciembre de 2019, Benderskiy utilizó su amplia influencia con el Estado ruso para proteger al grupo, proporcionando seguridad a sus miembros de alto rango y asegurándose de que no fueran perseguidos por las autoridades internas rusas”.