La Guardia Civil ha detenido en el aeropuerto de Madrid-Barajas a uno de los principales encargados de la infraestructura de Lockbit, el programa malicioso creado supuestamente en Rusia y responsable de ciberataques en más de 120 países a 2.500 empresas, personas e instituciones.

Fuentes próximas a la investigación han detallado que se trata de un ciudadano bielorruso y que su detención es una de las cuatro practicadas recientemente contra este grupo coordinadas por Europol en Francia (un detenido), Reino Unido (dos) y en España (uno), además de acciones y registros en un total de 12 países.

Según informa la Dirección General de la Guardia Civil y Europol, el arrestado en España es considerado una pieza clave dentro de la infraestructura empleada por este grupo, ya que era el administrador del proveedor de servicios de internet empleado por Lockbit y ofrecía anonimato y privacidad a sus clientes.

Bullet Proof Hosting (BPH)

Con la detención del propietario del citado proveedor de servicios denominado Bullet Proof Hosting, los agentes de la Unidad Central Operativa (UCO) se han incautado de nueve servidores relevantes de la infraestructura de Lockbit.

Gracias a ello se obtuvo información relevante para identificar a los principales miembros y afiliados del grupo de ransomware, continuándose en la actualidad con el análisis de la información recabada.

Lockbit es considerado un programa pionero en cuanto a la explotación de los modelos del ransomware malicioso que facilitan el crecimiento del cibercrimen, haciéndolo accesible a personas sin conocimientos técnicos avanzados. Desde finales de 2019, es usado por ciberdelincuentes para introducirse en sistemas informáticos de instituciones y empresas.

En mayo, Estados Unidos imputó a su supuesto creador, desarrollador y administrador, el ruso Dimitry Yuryevich Khoroshev, y ofreció hasta 10 millones de dólares de recompensa por información que conduzca a su arresto y/o condena.

Durante años, la identidad de líder de este grupo había sido una incógnita y se descubrió después de que la policía británica se infiltrara en los sistemas del grupo Lockbit y realizara varias detenciones, desconectando sus servidores, recopilando las comunicaciones internas del grupo y poniendo fin a la oleada de hackeo de Lockbit

Antes de su desmantelamiento, Lockbit se había convertido en uno de los grupos de ransomware más prolíficos y había lanzado cientos de ataques al mes y publicado los datos robados a las empresas que se negaban a pagar. Boeing, el servicio postal británico Royal Mail, un hospital infantil de Canadá y el Banco Industrial y Comercial de China figuran en la lista de víctimas recientes de Lockbit

Lockbit surgió por primera vez en 2019 como una plataforma de ransomware como servicio. Bajo esta configuración, un puñado de individuos crearon el malware fácil de usar del grupo y lanzaron un sitio web en el que colgaban la información que conseguían. Este grupo licenciaba el código malicioso a hackers afiliados que lanzaban ataques y negociaban el pago de rescates, y entregaban a  Lockbit alrededor del 20% de sus beneficios.

En mayo, Estados Unidos imputó a su supuesto creador, desarrollador y administrador, el ruso Dimitry Yuryevich Khoroshev, y ofreció hasta 10 millones de dólares de recompensa por información que conduzca a su arresto y/o condena.

Fuentes:

https://www.europol.europa.eu/media-press/newsroom/news/lockbit-power-cut-four-new-arrests-and-financial-sanctions-against-affiliates

https://www.lavanguardia.com/vida/20241001/9987846/detenido-madrid-pieza-clave-lockbit-grupo-autor-ciberataques-120-paises.html