Una coalición internacional Las agencias encargadas de hacer cumplir la ley, incluida la Oficina Federal de Investigaciones de EE. UU. y la Agencia Nacional contra el Crimen del Reino Unido, han interrumpido las operaciones de la famosa banda de ransomware LockBit.
El sitio de filtración de la web oscura de LockBit, donde el grupo enumera públicamente a sus víctimas y amenaza con filtrar sus datos robados a menos que se pague un rescate, fue reemplazado por un aviso policial el lunes.
Desde que surgió por primera vez como una operación de ransomware a finales de 2019, LockBit se ha convertido en una de las bandas de delitos cibernéticos más prolíficas del mundo, atacando a víctimas de todo el mundo y obteniendo millones de dólares en pagos de rescate extorsionados.
Hattie Hafenrichter, portavoz de la Agencia Nacional contra el Crimen del Reino Unido, confirmó a TechCrunch que «los servicios de LockBit se han visto interrumpidos como resultado de acciones policiales internacionales». Un mensaje en el sitio de filtración caído confirmó que el sitio está “ahora bajo el control de la Agencia Nacional contra el Crimen del Reino Unido, trabajando en estrecha cooperación con el FBI y el grupo de trabajo internacional de aplicación de la ley, ‘Operación Cronos’”.
Al momento de escribir este artículo, el sitio ahora alberga una serie de información que expone la capacidad y las operaciones de LockBit, incluidas filtraciones de backend y detalles sobre el presunto cabecilla de LockBit, conocido como LockBitSupp.
Una foto del sitio web oscuro LockBit ahora incautado. Créditos de imagen: TechCrunch (captura de pantalla)
La Operación Chronos es un grupo de trabajo encabezado por la NCA y coordinado en Europa por las agencias policiales Europol y Eurojust. En la operación de eliminación del ransomware también participaron otras organizaciones policiales internacionales de Australia, Canadá, Francia, Finlandia, Alemania, Países Bajos, Japón, Suecia, Suiza y Estados Unidos.
En su anuncio del martes, Europol confirmó que la operación de meses de duración «ha resultado en el compromiso de la plataforma principal de LockBit y otra infraestructura crítica que permitió su empresa criminal». Esto incluye la caída de 34 servidores en Europa, el Reino Unido y los Estados Unidos, junto con la incautación de más de 200 carteras de criptomonedas.
Aún no se sabe cuántas criptomonedas se almacenaron en estas billeteras ni cuánto confiscaron las autoridades.
Por otra parte, el Departamento de Justicia de Estados Unidos reveló acusaciones contra dos ciudadanos rusos, Artur Sungatov e Ivan Gennadievich Kondratiev, por su presunta participación en el lanzamiento de ciberataques LockBit.
El Departamento de Justicia acusó previamente a otros tres presuntos miembros del ransomware LockBit: Mikhail Vasiliev, con doble nacionalidad ruso-canadiense, se encuentra actualmente bajo custodia en Canadá en espera de extradición a Estados Unidos; y el ciudadano ruso Ruslan Magomedovich Astamirov está detenido en Estados Unidos en espera de juicio. Se cree que un tercer miembro sospechoso, Mikhail Pavlovich Matveev, alias Wazawaka, vive en el enclave ruso de Kaliningrado y sigue sujeto a una recompensa de 10 millones de dólares del gobierno estadounidense por información que conduzca a su arresto.
También han sido detenidos dos presuntos actores de LockBit en Polonia y Ucrania a petición de las autoridades judiciales francesas.
Antes del derribo del lunes, LockBit afirmó en su sitio de filtración en la web oscura que estaba «ubicado en los Países Bajos, completamente apolítico y sólo interesado en el dinero».
Como parte de la Operación Cronos, las agencias policiales dicen que han obtenido claves de descifrado de la infraestructura incautada de LockBit para ayudar a las víctimas de la banda de ransomware a recuperar el acceso a sus datos.
Allan Liska, experto en ransomware y analista de inteligencia de amenazas en Recorded Future, le dice a TechCrunch que esta acción «es absolutamente el final de la operación LockBit en su forma actual».
“Si bien el portavoz principal de la operación LockBit, LockBitSupp, no será arrestado, su operación está paralizada y su infraestructura está completamente expuesta. Basado en derribos pasados como este, esto tendrá un serio impacto en su reputación y su capacidad para atraer nuevos afiliados en el futuro”, dijo Liska.
Según el Departamento de Justicia, LockBit se ha utilizado en aproximadamente 2.000 ataques de ransomware contra sistemas de víctimas en EE. UU. y en todo el mundo, y ha recibido más de 120 millones de dólares en pagos de rescate.
Matt Hull, jefe de inteligencia de amenazas de la empresa de ciberseguridad NCC Group, con sede en el Reino Unido, dijo a TechCrunch que la compañía registró más de mil víctimas de LockBit solo durante 2023, o «el 22% de todas las víctimas de ransomware que identificamos durante todo el año».
LockBit y sus afiliados se han atribuido la responsabilidad de piratear algunas de las organizaciones más grandes del mundo. El año pasado, el grupo se atribuyó la responsabilidad de los ataques contra el gigante aeroespacial Boeing, el fabricante de chips TSMC y el gigante postal británico Royal Mail. En los últimos meses, LockBit se ha atribuido la responsabilidad de un ataque de ransomware en el condado de Fulton, en el estado estadounidense de Georgia, que ha interrumpido servicios clave del condado durante semanas, y de ataques cibernéticos dirigidos al laboratorio de investigación aeroespacial estatal de la India y a uno de los gigantes financieros más grandes de la India.
La eliminación del lunes es la última de una serie de acciones policiales dirigidas a bandas de ransomware. En diciembre, un grupo de organismos internacionales encargados de hacer cumplir la ley anunció que se habían apoderado del sitio de filtración de la web oscura de la famosa banda de ransomware conocida como ALPHV o BlackCat, que se cobró varias víctimas de alto perfil, incluido el sitio de intercambio de noticias Reddit, la empresa de atención médica Norton y Barts Health NHS Trust de Londres.
Lea más en TechCrunch: