Estados Unidos acusó a un ciudadano con doble nacionalidad rusa e israelí de ser el desarrollador del grupo de ransomware LockBit.
Se trata de Rostislav Panev, de 51 años, quien fue arrestado en agosto en Israel en cumplimiento de una solicitud de arresto provisional de EE.UU. con miras a su extradición. Panev se encuentra actualmente bajo custodia en Israel a la espera de su extradición por los cargos de la denuncia sustitutiva.
«El trabajo del Departamento de Justicia para perseguir los esquemas de ransomware más peligrosos del mundo incluye no solo el desmantelamiento de redes, sino también la búsqueda y el enjuiciamiento de las personas responsables de construirlas y administrarlas», dijo el fiscal general Merrick B. Garland. «Tres de las personas que alegamos son responsables de los ciberataques de LockBit contra miles de víctimas están ahora bajo custodia, y continuaremos trabajando junto a nuestros socios para responsabilizar a todos aquellos que lideran y permiten los ataques de ransomware», añadió.
Según la demanda sustitutiva, los documentos presentados en este y otros casos relacionados, y las declaraciones realizadas ante los tribunales, Panev actuó como desarrollador del grupo de ransomware LockBit desde su creación en 2019 o alrededor de esa fecha hasta al menos febrero de 2024. Durante ese tiempo, Panev y sus cómplices de LockBit convirtieron a LockBit en lo que fue, en ocasiones, el grupo de ransomware más activo y destructivo del mundo.
El grupo LockBit atacó a más de 2.500 víctimas en al menos 120 países de todo el mundo, incluidas 1.800 en Estados Unidos. Sus víctimas iban desde individuos y pequeñas empresas hasta corporaciones multinacionales, incluidos hospitales, escuelas, organizaciones sin fines de lucro, infraestructura crítica y agencias gubernamentales y de aplicación de la ley.
Los miembros de LockBit extrajeron al menos 500 millones de dólares en pagos de rescate de sus víctimas y causaron miles de millones de dólares en otras pérdidas, incluida la pérdida de ingresos y los costos de respuesta y recuperación de incidentes.
Los miembros de LockBit eran «desarrolladores», como Panev, que diseñó el código de malware LockBit y mantuvo la infraestructura en la que operaba LockBit. Los otros miembros de LockBit, llamados «afiliados», llevaron a cabo ataques de LockBit y extorsionaron el pago de rescates de las víctimas de LockBit. Luego, los desarrolladores y afiliados de LockBit se repartían los pagos de rescate extorsionados a las víctimas.
Como se alega en la demanda sustitutiva, en el momento del arresto de Panev en Israel en agosto, las fuerzas del orden descubrieron en el equipo de Panev credenciales de administrador de un repositorio en línea que estaba alojado en la web oscura y almacenaba código fuente para múltiples versiones del constructor LockBit, lo que permitió a los afiliados de LockBit generar compilaciones personalizadas del malware ransomware LockBit para víctimas particulares.
En ese repositorio, las fuerzas del orden también descubrieron el código fuente de la herramienta StealBit de LockBit, que ayudó a los afiliados de LockBit a exfiltrar datos robados a través de ataques de LockBit. Las fuerzas del orden también descubrieron credenciales de acceso para el panel de control de LockBit, un panel en línea mantenido por los desarrolladores de LockBit para los afiliados de LockBit y alojado por esos desarrolladores en la web oscura.
La demanda sustitutiva también alega que Panev intercambió mensajes directos a través de un foro de ciberdelincuentes con el administrador principal de LockBit, quien, en una acusación presentada en el Distrito de Nueva Jersey en mayo, Estados Unidos alegó que era Dimitry Yuryevich Khoroshev (Дмитрий Юрьевич Хорошев), también conocido como LockBitSupp, LockBit y putinkrab.
En esos mensajes, Panev y el administrador principal de LockBit discutieron el trabajo que debía realizarse en el generador y el panel de control de LockBit.
Los documentos judiciales indican además que, entre junio de 2022 y febrero de 2024, el administrador principal de LockBit realizó una serie de transferencias de criptomonedas, blanqueadas a través de uno o más servicios ilícitos de mezcla de criptomonedas, de aproximadamente USD 10,000 por mes a una billetera de criptomonedas propiedad de Panev. Esas transferencias ascendieron a más de 230.000 dólares durante ese período.
En entrevistas con las autoridades israelíes tras su arresto en agosto, Panev admitió haber realizado trabajos de codificación, desarrollo y consultoría para el grupo LockBit y haber recibido pagos regulares en criptomonedas por ese trabajo, en consonancia con las transferencias identificadas por las autoridades estadounidenses.
Entre los trabajos que Panev admitió haber realizado para el grupo LockBit se encuentra el desarrollo de código para desactivar el software antivirus; para implementar malware en múltiples computadoras conectadas a la red de una víctima; e imprimir la nota de rescate LockBit en todas las impresoras conectadas a la red de la víctima.
Panev también admitió haber escrito y mantenido el código de malware LockBit y haber proporcionado orientación técnica al grupo LockBit.
