Los organismos encargados de hacer cumplir la ley de todo el mundo, incluida la Oficina Federal de Investigaciones (FBI) de EE. UU. y la Agencia Nacional contra el Crimen del Reino Unido, cooperaron recientemente en una importante operación para interrumpir las actividades de la banda de ransomware LockBit. Desde su aparición a finales de 2019, el grupo ha sido un actor importante en el panorama mundial del cibercrimen, apuntando a víctimas de diversos sectores y acumulando importantes pagos de rescate.
En una acción policial internacional sin precedentes, la Agencia Nacional contra el Crimen (NCA) de Gran Bretaña y el FBI de Estados Unidos detuvieron las acciones de un grupo de ciberdelincuentes llamado LockBit, que ha atacado a más de 2 mil personas y ganado más de $120 millones de dólares extorsionando a sus víctimas para recuperar sus datos.
Hattie Hafenrichter, representante de la Agencia Nacional del Crimen del Reino Unido, confirmó a TechCrunch que "los servicios de LockBit se han visto interrumpidos como resultado de la acción de aplicación de la ley internacional". Un comunicado en el sitio web, ahora fuera de servicio, confirmó que el sitio está "ahora bajo el control de la Agencia Nacional del Crimen del Reino Unido, en estrecha colaboración con el FBI y el grupo de trabajo internacional de aplicación de la ley, 'Operación Cronos'".
El sitio ahora alberga una serie de información que expone la capacidad y las operaciones de LockBit, incluidas las filtraciones de back-end y los detalles sobre el supuesto cabecilla de LockBit, conocido como LockBitSupp.
Por otro lado, además de la incautación de la infraestructura tecnológica de LockBit, a través de la Operación Cronos, la EUROPOL y el Departamento de seguridad de los Estados Unidos arrestaron a tres miembros de la pandilla que operaba desde Polonia, Ucrania y Norteamérica.
LockBit emergió en 2020 como un servicio de ransomware. Desde entonces, esta banda de hackers ha estado obteniendo beneficios al robar información confidencial de organizaciones de diversos sectores y extorsionarlas con la amenaza de filtrar sus datos si no pagan el rescate exigido. Sus afiliados son grupos criminales más pequeños dispersos por todo el mundo, reclutados por LockBit para llevar a cabo ataques utilizando su variante de ransomware.
Este grupo ha impulsado un modelo de ciberdelincuencia bastante curioso, pero ya convencional. Se trata del mencionado ransomware como servicio (RaaS), un equivalente malintencionado del modelo lícito de software como servicio (SaaS). En este esquema, los LockBit se ha encargado de desarrollar el ransomware y de ofrecerlo a otros atacantes, es decir, a actores malintencionados dispuestos a pagar por utilizarlo.
La mayor consecuencia para LockBit ha sido la pérdida de la mayor parte de su infraestructura delictiva. Según las autoridades, los miembros de la operación lograron tomar el control de la mayoría de sus sistemas después de infiltrarse en ellos.
LockBit mantenía una página en la web oscura que servía como enlace con grupos de atacantes especializados y, además, era el componente principal del grupo para amenazar y publicar datos robados de las víctimas. Actualmente, al intentar acceder a esta página a través de la red Tor, nos encontramos con un mensaje que indica la intervención por parte de las fuerzas policiales.
Todavía no se sabe cuánta criptomoneda se almacenó en estas carteras, o cuánto incautaron las autoridades
Según Allan Liska, experto en ciberseguridad y analista de inteligencia de amenazas en Recorded Future, aunque es probable que algunos miembros del grupo continúen llevando a cabo ciberataques de forma limitada.
El Departamento de Justicia de Estados Unidos presentó cargos contra dos ciudadanos rusos, y se realizaron arrestos adicionales en Polonia y Ucrania a solicitud de las autoridades francesas. Las afirmaciones de LockBit de ser apolítico y motivado únicamente por ganancias financieras han sido desmentidas por las acciones policiales, que han expuesto las operaciones del grupo y proporcionado información crucial sobre su modus operandi.
Las claves de descifrado obtenidas de la infraestructura incautada de LockBit ayudarán a las víctimas a recuperar el acceso a sus datos, mitigando el impacto de los ataques del grupo. Los expertos opinan que esta eliminación marca el fin de las operaciones de LockBit en su forma actual. Aunque el principal portavoz del grupo, conocido como LockBitSupp, podría seguir prófugo, la interrupción de su infraestructura socava gravemente su credibilidad y capacidad para atraer nuevos afiliados.
El alcance global de LockBit se pone de manifiesto por su participación en ataques de ransomware dirigidos a organizaciones destacadas como Boeing, TSMC y Royal Mail. Los recientes ataques al condado de Fulton en Estados Unidos y a entidades en India subrayan aún más las capacidades disruptivas y el enfoque indiscriminado del grupo.
La exitosa eliminación de LockBit es la última de una serie de acciones policiales destinadas a combatir las bandas de ransomware. En diciembre, una operación similar se centró en el grupo de ransomware ALPHV, lo que indica un esfuerzo concertado por parte de las autoridades para perturbar las redes de delitos cibernéticos y proteger a personas y organizaciones de la extorsión. La colaboración entre los organismos encargados de hacer cumplir la ley a través de las fronteras resalta la importancia de la cooperación internacional en la lucha contra el cibercrimen. Al desmantelar importantes operaciones de ransomware como LockBit, las autoridades buscan alterar el ecosistema cibercriminal y proteger la infraestructura digital de naciones de todo el mundo.
LockBit y sus asociados han admitido haber perpetrado algunos de los mayores ciberataques a nivel mundial. El año pasado, el grupo se atribuyó la responsabilidad de los ataques contra el gigante aeroespacial Boeing, el fabricante de chips TSMC y el servicio postal del Reino Unido, Royal Mail. En meses recientes, LockBit ha reconocido su responsabilidad en un ataque de ransomware contra el condado de Fulton en Georgia, Estados Unidos, que causó interrupciones en los servicios clave durante semanas, así como en los ataques cibernéticos dirigidos al laboratorio de investigación aeroespacial de propiedad estatal en India y a uno de los principales gigantes financieros del país.
Por supuesto, la interrupción de la operación de LockBit por parte de las agencias gubernamentales es un logro significativo para la industria de la ciberseguridad. Sin embargo, es común que los grupos de hackers desmantelados se reorganicen, cambien de identidad y continúen con sus actividades. Por lo tanto, es esencial que las empresas no descuiden la seguridad cibernética, especialmente en esta era digital en constante cambio.
Además, es fundamental que cualquier víctima de ransomware informe el incidente a las autoridades competentes. Esto puede ayudar en la investigación y en la identificación de los responsables, así como en la recuperación de datos y la prevención de futuros ataques.
En cuanto a la aplicación de la ley, es importante que se tomen acciones firmes contra los delincuentes cibernéticos. Las agencias gubernamentales deben colaborar a nivel nacional e internacional para identificar, arrestar y enjuiciar a los responsables de estos delitos. Además, se deben implementar leyes y regulaciones más estrictas para disuadir a los perpetradores y proteger a las víctimas.
En este sentido, Never Off Technology puede desempeñar un papel crucial al proporcionar soluciones de ciberseguridad avanzadas. Con su experiencia en el campo de la ciberseguridad, puede ayudar a las empresas a fortalecer sus defensas contra amenazas como el ransomware, brindando servicios de monitoreo, detección y respuesta ante incidentes. Además, Never Off Technology puede asesorar a las empresas sobre cómo cumplir con las regulaciones de seguridad cibernética y ofrecer capacitación a los empleados para mejorar la conciencia y la preparación ante posibles ataques.
