El ciudadano ruso-canadiense Mikhail Vasiliev fue arrestado en Canadá la semana pasada por su presunta participación en la campaña de ransomware LockBit, que se ha cobrado al menos 1.000 víctimas en los Estados Unidos.
El ransomware LockBit es un software malicioso que se autopropaga y bloquea a los usuarios fuera de los sistemas informáticos, manteniendo los datos como «rehenes» bajo la amenaza de publicarlos en la dark web hasta que se realice el pago del rescate. Desde que se descubrió en enero de 2020, LockBit se ha convertido en una de las variantes de ransomware más activas del mundo y se cree que es responsable de alrededor del 44 por ciento de todas las campañas de ransomware en lo que va del año, según el Informe de ciberamenazas de 2022 de Deep Instinct.
Vasiliev, de 33 años, está acusado de «conspiración para dañar intencionalmente computadoras protegidas y transmitir demandas de rescate» y, si es declarado culpable, enfrenta un máximo de cinco años de prisión. Vasiliev se encuentra actualmente bajo custodia canadiense en espera de su extradición a los Estados Unidos.
La evidencia de los cargos se recopiló durante dos redadas policiales separadas en la casa del sospechoso. La denuncia penal describe dos redadas policiales separadas en su casa de Ontario, primero en agosto de 2022 y luego nuevamente en octubre siguiente. Durante la primera búsqueda, la policía canadiense descubrió capturas de pantalla de mensajes cifrados intercambiados con un usuario llamado «LockBitSupp» (que se cree que es una abreviatura de «LockBitSupport») y datos confidenciales de inicio de sesión pertenecientes a empleados de una víctima confirmada de LockBit desde enero de 2022.
Durante la segunda búsqueda, Vasiliev fue inmovilizado antes de que pudiera bloquear su computadora portátil, lo que permitió una búsqueda más exhaustiva de su dispositivo. Los investigadores descubrieron un archivo llamado «TARGETLIST» (que se cree que es una lista de víctimas potenciales o históricas de delitos cibernéticos), así como una pestaña abierta del navegador en un sitio llamado «LockBit LOGIN» alojado en el dominio LockBit de la Dark Web.
Las autoridades también utilizaron las tenencias de Bitcoin de Vasiliev para conectarlo con el esquema criminal. Se encontró una frase inicial para una dirección de billetera Bitcoin durante la búsqueda de octubre de 2022, y el análisis de blockchain reveló que la billetera recibió un pago de aproximadamente 0,80574055 BTC el 5 de febrero de 2022. Los fondos para esta transacción se remontan a un pago de rescate de 2,8759 BTC realizado por una víctima confirmada de LockBit seis horas antes.
Se cree que los miembros de LockBit han realizado al menos 100 millones de dólares en demandas de rescate, con decenas de millones de dólares en pagos de rescate reales extraídos de sus víctimas. A principios de este año, los pequeños pueblos de St. Marys, Ontario, y Frederick, Colorado, fueron atacados por el grupo, y LockBit exigió un rescate de U$S 200.000 a cambio de no publicar los datos robados a los residentes de Frederick.
«Este arresto es el resultado de más de dos años y medio de investigación sobre el grupo de ransomware LockBit, que ha dañado a las víctimas en los Estados Unidos y en todo el mundo», dijo la fiscal general adjunta Lisa O. Monaco.