Durante los últimos cuatro años, el grupo de ransomware LockBit ha arrasado implacablemente, pirateando miles de empresas, escuelas, instalaciones médicas y gobiernos de todo el mundo, y ganando millones en el proceso. Un hospital infantil, Boeing, el Royal Mail del Reino Unido y la cadena de sándwiches Subway han sido víctimas recientes.
Pero la campaña de piratería de LockBit se ha detenido abruptamente. Una amplia operación policial, dirigida por la policía de la Agencia Nacional contra el Crimen (NCA) del Reino Unido y en la que participan investigadores de 10 fuerzas de todo el mundo, se ha infiltrado en el grupo de ransomware y ha desconectado sus sistemas.
Graeme Biggar, director general de la NCA, dice que el grupo ha sido “fundamentalmente desorganizado”. La operación policial, llamada Operación Cronos, tomó el control de la infraestructura y el sistema administrativo de LockBit, se apoderó de su sitio de filtración en la web oscura, accedió a su código fuente, confiscó alrededor de 11.000 dominios y servidores y obtuvo detalles de los miembros del grupo. «A partir de hoy, LockBit es efectivamente redundante», dijo Biggar en una conferencia de prensa en Londres, compareciendo con funcionarios encargados de hacer cumplir la ley del FBI y Europol. «Hemos pirateado a los piratas informáticos», afirma.
La acción es una de las más grandes y potencialmente más significativas jamás emprendidas contra un grupo de ciberdelincuentes. Biggar dice que los funcionarios encargados de hacer cumplir la ley consideran que LockBit, que es de naturaleza global, ha sido el grupo de ransomware «más prolífico y dañino» que ha estado activo en los últimos años. Fue responsable del 25 por ciento de los ataques del año pasado. «LockBit ransomware ha causado pérdidas de miles de millones», dice Biggar sobre los costos generales de los ataques y la recuperación.
Además de la incautación de infraestructura técnica, las operaciones policiales en torno a LockBit también incluyen detenciones en Polonia, Ucrania y Estados Unidos, así como sanciones para dos presuntos miembros del grupo que tienen su base en Rusia. El grupo tiene miembros repartidos por todo el mundo, dijeron los funcionarios.
Nicole Argentieri, fiscal general adjunta interina del Departamento de Justicia de EE. UU., dice que LockBit ha recibido más de 120 millones de dólares en pagos de ransomware y que la acción anunciada contra el grupo es solo el comienzo de las medidas drásticas.
La acción policial contra LockBit se reveló por primera vez cuando su sitio web de ransomware se desconectó el 19 de febrero y fue reemplazado por una página de retención que decía que había sido confiscado por la policía. El grupo LockBit, que debutó como “ABCD” antes de cambiar su nombre, apareció por primera vez a finales de 2019. Desde entonces, LockBit ha atacado rápidamente a las empresas y ha aumentado el reconocimiento de su nombre dentro del ecosistema del cibercrimen. “LockBit ha sido una espina clavada para las empresas y los gobiernos durante años, con más de 3.000 víctimas conocidas públicamente, y [has been] aparentemente intocable”, dice Allan Liska, analista especializado en ransomware para la firma de ciberseguridad Recorded Future. La larga lista de víctimas de Lockbit incluye varias organizaciones gubernamentales, puertos y empresas automotrices de EE. UU.
LockBit opera como una operación de ransomware como servicio, con un puñado de miembros centrales que crean su malware y ejecutan su sitio web e infraestructura. Este grupo central otorga licencias de su código a “afiliados”, quienes lanzan ataques contra empresas, roban sus datos e intentan extorsionarlas. «LockBit es la última de las ofertas de ransomware como servicio de ‘afiliados abiertos’, lo que significa que cualquiera que esté dispuesto a desembolsar el dinero puede unirse a su programa con poca o ninguna investigación», dice Liska. «Probablemente hayan tenido cientos de afiliados a lo largo de su carrera».