Desarrollador de LockBit, Rostislav Panev, acusado por miles de millones en daños globales causados por ransomware

-

21 de diciembre de 2024, por Ravie Lakshmanan

Un ciudadano ruso e israelí, Rostislav Panev, de 51 años, ha sido acusado en Estados Unidos por presuntamente ser el desarrollador del ransomware como servicio (RaaS) LockBit, que operó desde su creación alrededor de 2019 hasta al menos febrero de 2024.


Panev fue arrestado en Israel en agosto y actualmente espera su extradición, según el Departamento de Justicia de los EE. UU. (DoJ). Las investigaciones revelaron transferencias de fondos a una billetera de criptomonedas vinculada a Panev, indicando que habría ganado aproximadamente $230,000 USD entre junio de 2022 y febrero de 2024.

"Durante años, Rostislav Panev creó y mantuvo las armas digitales que permitieron a sus cómplices de LockBit causar estragos y miles de millones de dólares en daños en todo el mundo," declaró Philip R. Sellinger, Fiscal Federal de los EE. UU.

LockBit: Un gigante del ransomware

LockBit, una de las bandas de ransomware más prolíficas, sufrió la incautación de su infraestructura en febrero de 2024 como parte de la operación internacional Cronos. El grupo había atacado a más de 2,500 entidades en 120 países, incluyendo 1,800 objetivos en Estados Unidos, generando al menos $500 millones USD en ganancias ilícitas.

Entre las víctimas de LockBit se encontraban hospitales, escuelas, empresas multinacionales, organizaciones sin fines de lucro e infraestructuras críticas. Documentos judiciales muestran que, al momento del arresto de Panev, su computadora contenía credenciales administrativas para un repositorio en la dark web que almacenaba el código fuente de múltiples versiones del ransomware LockBit.

Además, se encontraron herramientas como StealBit, utilizadas para extraer datos sensibles de sistemas comprometidos antes del proceso de cifrado.

Colaboración y desarrollo técnico

Panev no solo escribió y mantuvo el código del malware, sino que también ofreció orientación técnica al grupo. Está acusado de haber intercambiado mensajes directos con Dmitry Yuryevich Khoroshev, alias LockBitSupp, sobre el desarrollo del constructor y el panel de control del ransomware.

"Tras su arresto, Panev admitió haber trabajado en el desarrollo de código para deshabilitar antivirus, desplegar malware en redes de víctimas y mostrar notas de rescate en todas las impresoras conectadas," informó el DoJ.

Setbacks pero posible regreso

A pesar de las múltiples operaciones de desarticulación, los operadores de LockBit planean un regreso con una nueva versión, LockBit 4.0, programada para febrero de 2025.

Otros casos destacados de delitos cibernéticos

  1. Afiliado de NetWalker sentenciado a 20 años
    Daniel Christian Hulea, un ciudadano rumano de 30 años, fue sentenciado por operar como afiliado del ransomware NetWalker, obteniendo 1,595 bitcoins en pagos de rescate, valuados en aproximadamente $21,500,000 USD.

  2. Desarrollador de Raccoon Stealer sentenciado a 5 años
    El ucraniano Mark Sokolovsky recibió una sentencia de 60 meses por desarrollar Raccoon Stealer, un malware ofrecido como servicio (MaaS) que permitió el robo masivo de datos sensibles.

  3. Caso de tráfico de tarjetas de crédito y lavado de dinero
    Vitalii Antonenko, un ciudadano de Nueva York, fue sentenciado por infiltrarse en sistemas usando ataques de inyección SQL y vender datos de tarjetas de crédito robadas en mercados criminales en línea.


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Falsos sitios de DocuSign y Gitcode propagan NetSupport RAT mediante ataque PowerShell en múltiples etapas

-
Imagen
Cazadores de amenazas están alertando sobre una nueva campaña que utiliza sitios web falsos para engañar a usuarios desprevenidos y hacer que ejecuten scripts maliciosos de PowerShell en sus máquinas, infectándolas con el malware NetSupport RAT. El equipo de Investigaciones de DomainTools (DTI) informó que identificó “scripts PowerShell maliciosos en múltiples etapas” alojados en sitios trampa que se hacen pasar por Gitcode y DocuSign. “Estos sitios intentan engañar a los usuarios para que copien y ejecuten un script inicial de PowerShell desde el comando ‘Ejecutar’ de Windows”, indicó la empresa en un informe técnico compartido con The Hacker News. “Al hacerlo, el script de PowerShell descarga otro script que actúa como descargador y lo ejecuta en el sistema, lo que a su vez recupera cargas útiles adicionales y las ejecuta, instalando finalmente NetSupport RAT en las máquinas infectadas.” Ciberseguridad Se cree que estos sitios falsos se propagan mediante tácticas de ingeniería so...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más

El FBI advierte sobre suplantación de correo electrónico por parte del actor de amenazas norcoreano Kimsuky

-
Imagen
El actor de amenazas norcoreano Kimsuky está aprovechando nuevas tácticas de suplantación de correo electrónico en sus recientes campañas de spearphishing, advirtieron conjuntamente el Buró Federal de Investigaciones (FBI), el Departamento de Estado de EE. UU. y la Agencia de Seguridad Nacional (NSA) el jueves en un aviso conjunto . Kimsuky, también conocido como Emerald Sleet o APT43, es una subunidad de la Oficina General de Reconocimiento (RGB) del ejército norcoreano y es conocido por sus campañas de spearphishing destinadas a recopilar inteligencia sobre asuntos que afectan los intereses norcoreanos. Esto incluye información sobre eventos geopolíticos y las estrategias de política exterior de los adversarios de Corea del Norte. El modus operandi del grupo es hacerse pasar por periodistas legítimos, grupos de expertos, académicos y otros expertos en asuntos del este asiático, convenciendo a las víctimas de abrir enlaces o documentos maliciosos bajo el pretexto de ofrecer una entrev...
Leer más