Una operación internacional coordinada entre fuerzas de seguridad de múltiples países logro identificar al ciudadano ruso Aleksandr Ryzhenkov, quien es buscado por su relación con Evil Corp y el rasomware BitPaymer, además de ser el encargado de la infraestructura de LockBit 3.0.
Este martes las policías de varios países de occidente identificaron al ciudadano ruso Aleksandr Ryzhenkov como uno de los principales miembros del grupo cibercriminal Evil Corp, además de ser un afiliado a la banda LockBit 3.0, en el cual jugaba un importante rol como encargado de sus infraestructuras.
La identificación Ryzhenkov es uno de los logros más relevantes de una operación internacional coordinada entre fuerzas de seguridad de múltiples países y liderada por la Agencia Nacional del Crimen del Reino Unido (NCA), el FBI de Estados Unidos y Europol. En la acción también participaron la Guardia Civil de España y otras fuerzas policiales de Francia, Alemania, Suecia, Países Bajos, Japón, Australia, Suiza y Canadá.
La acción policial no solo permitió la identificación de Ryzhenkov , sino de otros individuos clave vinculados a LockBit, además de la confiscación en España de varios servidores utilizados por el grupo para ejecutar sus operaciones ilícitas.
LockBit es conocido por emplear un modelo de negocio denominado “Ransomware-as-a-Service” (RaaS), que permite a terceros utilizar sus herramientas para llevar a cabo ataques cibernéticos, extorsionando a organizaciones públicas y privadas mediante la encriptación de datos sensibles y solicitando rescates a cambio de su liberación.
Para el Departamento de Justicia de los Estados Unidos la acción fue particularmente relevante, porque Ryzhenkov es sindicado como responsable en varias extorsiones a empresas, especialmente en el ámbito norteamericano, utilizando el ransomware BitPaymer.
Nicole Argentieri, jefa de la División Penal del Departamento de Justicia de Estados Unidos, destacó la relevancia de esta acción, subrayando que «abordar la amenaza de los grupos de ransomware es una de las principales prioridades» de su oficina.
En paralelo con la identificación de Ryzhenkov, se produjeron varias detenciones en otros países.
En Reino Unido, dos sujetos fueron detenidos por lavado de activos vinculados en el esquema de LockBit, mientras que en Francia la policía arrestó a un presunto desarrollador de software relacionado con el ransomware.
Pero quizás la acción más relevante en términos prácticos ocurrió en España, donde la Guardia Civil detuvo al propietario de una empresa dedicada al «alojamiento a prueba de balas» o bulletproof hosting, una infraestructura utilizada por LockBit para garantizar el anonimato de sus operaciones y evitar ser detectados por las fuerzas policiales.
Fue específicamente la Unidad Central Operativa de la Guardia Civil la que logró desmantelar este centro y detener al administrador del proveedor de servicios de alojamiento mencionado, lo que permitió la incautación de nueve servidores utilizados por el grupo para coordinar sus ataques. La información obtenida de estos servidores ha sido calificada como altamente valiosa, y las autoridades siguen analizando los datos con el fin de identificar a otros miembros y colaboradores de LockBit.
LockBit, a pesar de sus intentos por mantener en secreto su estructura interna y las identidades de sus miembros, ha sido objeto de un escrutinio creciente por parte de las autoridades internacionales. La cooperación policial entre diferentes países ha logrado obtener información detallada sobre su modus operandi, así como sobre sus afiliados y estructuras de soporte.
Evil Corp fue el otro gran afectado por la acción de las policías. Este grupo de cibercrimen ha sido asociado históricamente con ataques masivos en el ámbito financiero. Las autoridades de Estados Unidos, Reino Unido y Australia publicaron documentos que detallan el papel de Ryzhenkov y Eduard Benderskiy, un exfuncionario de inteligencia ruso que ha protegido a varios de los cibercriminales de esa banda, impidiendo su captura por parte de las autoridades.
Como parte de esta acción coordinada, se han emitido sanciones financieras contra varios individuos vinculados a Evil Corp y LockBit, incluidas 16 personas en el Reino Unido y 7 en Estados Unidos. Estas sanciones buscan dificultar el acceso a los recursos financieros de estos grupos y limitar su capacidad operativa.
La operación también se ha centrado en analizar el impacto y la evolución de la plataforma LockBit, que aunque sigue operativa, se ha visto significativamente debilitada tras la confiscación de parte de su infraestructura a principios de año.
Las autoridades han señalado que algunos de los ataques reportados en su sitio web, que habitualmente expone a las víctimas de ransomware, son en realidad antiguos o mal atribuidos, lo que sugiere una pérdida de capacidad en el grupo.
James Babbage, director general de amenazas de la NCA, explicó que esta operación representa un paso significativo en la lucha contra los grupos de ransomware. “La amenaza del ransomware es una de las más importantes a las que se enfrenta el Reino Unido y el mundo. Continuaremos colaborando con nuestros socios internacionales para compartir información y desmantelar las operaciones de los grupos de ransomware más sofisticados, sin importar dónde se encuentren o cuánto tiempo lleve hacerlo”, señaló.
A pesar de los avances policiales este año y los duros golpes recibidos, las autoridades advierten que LockBit sigue siendo una amenaza, aunque con una capacidad operativa mucho más reducida.