Las fuerzas de seguridad de una decena de países han asestado un duro golpe a LockBit. Estamos hablando del grupo de piratas informáticos más prolífico del mundo cuyos ataques más recientes han alcanzado el Puerto de Lisboa, el banco chino ICBC y el Ayuntamiento de Sevilla. Después de poco más de cuatro años obteniendo millones de dólares producto de su actividad ilícita, el grupo habría sido desmantelado.
Al menos esta es la información que nos llega desde la Agencia Nacional Contra el Crimen del Reino Unido (NCA) que ha dirigido una operación internacional denominada “Operación Cronos” con la asistencia de Europol y Eurojust. El resultado, explican, ha sido la interrupción del la actividad de LockBit “en todos los niveles”, el arresto de dos miembros de la banda y la intervención de más de 200 cuentas de criptomonedas.
LockBit, contra las cuerdas
El mayor impacto para LockBit ha sido la pérdida de la mayor parte de su infraestructura delictiva. Según las autoridades, los miembros de la operación consiguieron tomar el control de la mayoría de sus sistemas después de infiltrarse en ellos. De esta forma, 34 servidores que estaban ubicados en Países Bajos, Alemania, Finlandia, Francia, Australia, Estados Unidos, Reino Unido y Suiza ya no están operativos.
LockBit tenía una página en la web oscura que actuaba de enlace con grupos de atacantes afilados y, además, era el elemento principal del grupo para amenazar y publicar datos robados de las víctimas. En la actualidad, si queremos ingresar a esta página a través de la red Tor nos encontramos con el mensaje que podemos ver en la imagen de portada que da cuenta de la intervención por las fuerzas policiales.
Desde la NCA afirman que también han obtenido el código fuente de la plataforma LockBit e importante información histórica sobre la actividad del grupo. Por ejemplo, con qué otros grupos han trabajado. Esto se traduce en un enorme daño de credibilidad para LockBit en el mundo del cibercrimen principalmente si tenemos en cuenta que su esquema de negocio es el ransomware como servicio (RaaS).
Se espera que el contenido de los servidores intervenidos sirva para respaldar investigaciones paralelas para dar con otros grupos de ciberdelincuentes. Como decimos, la operación también ha dado como resultado la detención de dos personas de nacionalidad rusa relacionadas al grupo raíz. Una de ellas se encontraba en Polonia y la otra en Ucrania. Ambos sospechosos han recibido acusaciones de Estados Unidos.
Las fuerzas policiales de Francia, Alemania, Países Bajos, Suecia, Australia, Canadá, Japón, Reino Unido, Estados Unidos y Suiza participaron de "Operación Cronos". Sin embargo, recibieron la colaboración de la Policía Nacional de Finlandia, la Oficina Central de Delitos Cibernéticos de Cracovia (Polonia), la Policía de Nueva Zelanda, la fiscalía general de Ucrania, el Departamento de Ciberseguridad de Ucrania y Policía Nacional de Ucrania.
Ransomware como servicio y claves de cifrado
LockBit ha impulsado un modelo de ciberdelincuencia bastante curioso, pero ya convencional. Se trata del mencionado ransomware como servicio (RaaS), un equivalente malintencionado del modelo lícito de software como servicio (SaaS). En este esquema, los LockBit se ha encargado de desarrollar el el ransomware y de ofrecerlo a otros acatantes, es decir, a actores malintencionados dispuestos a pagar por utilizarlo.
Cuando el ransomware de LockBit infecta un sistema, los datos del sistema de la víctima pasan a estar cifrados y se vuelven inaccesibles. Acto seguido, los atacantes solicitan el pago de un rescate en criptomonedas para brindar la clave de descifrado que permita restaurar el estado original de los mismos. En ocasiones, en caso de que no se pague el rescate, también se suele amenazar con publicar los datos cifrados.
El Operativo Cronos ha permitido descubrir dos datos muy interesantes. Por un lado, que LockBit no siempre habría borrado los datos de las víctimas que pagaron un rescate. Y esto es particularmente sensible en caso de empresas que han caído en la trampa. Por otro lado, que se han obtenido más de 1.000 claves de descifrado que pueden ayudar a las víctimas a recuperar sus datos sin pagar rescate alguno.
La NCA se ha comprometido a ponerse en contacto con las víctimas de Reino Unido “en los próximos días y semanas” para que puedan utilizar las claves. En cualquier caso, se prevé que estas sean añadidas a la página “No More Ransom” que controla la Europol. Las víctimas de ataques de ataques podrán utilizar este recurso para descubrir las últimas claves de descifrado de LockBit.
Imágenes: NCA
Ver 5 comentarios