LockBit: jaque mate para el ransomware más grande del mundo.

LockBit fue la variante de ransomware más implementada en todo el mundo

Es ampliamente reconocido como el ransomware más prolífico y dañino del mundo, causando daños por valor de miles de millones de euros.

 

En un avance significativo en la lucha contra el ciberdelito, las fuerzas del orden de 10 países han interrumpido la operación criminal del grupo de ransomware LockBit en todos los niveles, dañando gravemente su capacidad y credibilidad.

 

 

Esta redada internacional sigue a una compleja investigación dirigida por la Agencia Nacional contra el Crimen del Reino Unido en el marco de un grupo de trabajo internacional conocido como “Operación Cronos”, coordinado a nivel europeo por Europol y Eurojust.

 

La operación de meses de duración ha resultado en el compromiso de la plataforma principal de LockBit y otra infraestructura crítica que permitió su empresa criminal. Esto incluye la caída de 34 servidores en los Países Bajos, Alemania, Finlandia, Francia, Suiza, Australia, Estados Unidos y el Reino Unido.

 

Además, dos actores de LockBit han sido detenidos en Polonia y Ucrania a petición de las autoridades judiciales francesas. Las autoridades judiciales francesas y estadounidenses también han emitido tres órdenes de detención internacionales y cinco acusaciones.

 

Las autoridades han congelado más de 200 cuentas de criptomonedas vinculadas a la organización criminal, lo que subraya el compromiso de interrumpir los incentivos económicos que impulsan los ataques de ransomware.

 

La Agencia Nacional contra el Crimen del Reino Unido ahora ha tomado el control de la infraestructura técnica que permite operar todos los elementos del servicio LockBit, así como su sitio de filtración en la web oscura, en el que anteriormente alojaban los datos robados a las víctimas en ataques de ransomware.

 

En la actualidad, una gran cantidad de datos recopilados a lo largo de la investigación están en posesión de las autoridades. Estos datos se utilizarán para respaldar las actividades operativas internacionales en curso centradas en atacar a los líderes de este grupo, así como a los desarrolladores, afiliados, infraestructura y activos criminales vinculados a estas actividades criminales.

La administración del grupo de ransomware Lockbit afirma que las fuerzas del orden los comprometieron al explotar la vulnerabilidad crítica en PHP CVE-2023-3824 (CVSS 9.8).

 

 

 

 

El ransomware más dañino del mundo

LockBit surgió por primera vez a finales de 2019 y primero se llamó a sí mismo ransomware “ABCD”. Desde entonces, ha crecido rápidamente y en 2022 se convirtió en la variante de ransomware más implementada en todo el mundo.

 

El grupo es una operación de ‘ransomware como servicio’, lo que significa que un equipo central crea su malware y ejecuta su sitio web, mientras otorga licencias de su código a afiliados que lanzan ataques.

 

La presencia de ataque de LockBit se ve a nivel mundial, con cientos de afiliados reclutados para realizar operaciones de ransomware utilizando las herramientas e infraestructura de LockBit. Los pagos de rescate se dividieron entre el equipo central de LockBit y los afiliados, quienes recibieron en promedio tres cuartas partes de los pagos de rescate cobrados.

 

El grupo de ransomware también es famoso por experimentar con nuevos métodos para presionar a sus víctimas para que paguen rescates. La triple extorsión es uno de esos métodos que incluye los métodos tradicionales de cifrar los datos de la víctima y amenazar con filtrarlos, pero también incorpora ataques de denegación de servicio distribuido (DDoS) como una capa adicional de presión.

 

El paso de la pandilla a la triple extorsión estuvo influenciado en parte por un ataque DDoS que ellos mismos sufrieron, que impidió su capacidad de publicar datos robados. En respuesta, LockBit mejoró su infraestructura para resistir tales ataques.

 

Esta infraestructura está ahora bajo control policial, y más de 14.000 cuentas fraudulentas responsables de exfiltración o infraestructura han sido identificadas y remitidas para su eliminación por parte de las autoridades.

 

El papel coordinador de Europol

Con países involucrados en ambos lados del mundo, Europol –que alberga la red más grande del mundo de funcionarios de enlace de los Estados miembros de la UE– jugó un papel central en la coordinación de la actividad internacional.

 

El Centro Europeo de Ciberdelincuencia (EC3) de Europol organizó 27 reuniones operativas y cuatro sesiones técnicas de una semana para desarrollar las pistas de investigación en preparación de la fase final de la investigación.

 

Europol también proporcionó apoyo analítico, de rastreo criptográfico y forense a la investigación, y facilitó el intercambio de información en el marco del Grupo de Trabajo Conjunto de Acción contra la Ciberdelincuencia (J-CAT) alojado en su sede. Además, durante la fase de acción se desplegaron tres expertos de Europol en el puesto de mando de Londres.

 

En total, se han intercambiado más de 1.000 mensajes operativos sobre este caso a través del canal de información seguro SIENA de Europol, lo que lo convierte en una de las investigaciones más activas de EC3.

 

El caso se abrió en Eurojust en abril de 2022 a petición de las autoridades francesas. La Agencia organizó cinco reuniones de coordinación para facilitar la cooperación judicial y preparar la acción conjunta.

 

Herramientas de descifrado disponibles en No More Ransom

Con el apoyo de Europol, la policía japonesa, la Agencia Nacional contra el Crimen y la Oficina Federal de Investigaciones han concentrado su experiencia técnica para desarrollar herramientas de descifrado diseñadas para recuperar archivos cifrados por LockBit Ransomware.

 

Estas soluciones están disponibles de forma gratuita en el portal ‘No More Ransom’ , disponible en 37 idiomas. Hasta ahora, más de 6 millones de víctimas en todo el mundo se han beneficiado de No More Ransom, que contiene más de 120 soluciones capaces de descifrar más de 150 tipos diferentes de ransomware.

 

Operación del grupo de trabajo Cronos

Esta actividad forma parte de una campaña concertada y en curso del grupo de trabajo internacional Operación Cronos para atacar e interrumpir el ransomware LockBit. Forman parte de este grupo de trabajo las siguientes autoridades:

 

Francia: Gendarmería Nacional (Gendarmerie Nationale – Unité nationale cyber C3N)

Alemania: Oficina Estatal de Investigación Criminal de Schleswig-Holstein (LKA Schleswig-Holstein), Oficina Federal de Policía Criminal (Bundeskriminalamt)

Países Bajos: Policía Nacional (Equipo Cybercrime Zeeland-West-Brabant, Team Cybercrime Oost-Brabant, Team High Tech Crime) y Fiscalía de Zelanda-Brabant Occidental

Suecia: Autoridad policial sueca

Australia: Policía Federal Australiana (AFP)

Canadá: Real Policía Montada de Canadá (RCMP)

Japón: Agencia Nacional de Policía (警察庁)

Reino Unido: Agencia Nacional contra el Crimen (NCA), Unidad Regional contra el Crimen Organizado del Suroeste (ROCU del Suroeste)

Estados Unidos: Departamento de Justicia de EE. UU. (DOJ), Oficina Federal de Investigaciones (FBI) Newark

Suiza: Oficina Federal Suiza de Policía (fedpol), Fiscalía del cantón de Zúrich, Policía Cantonal de Zúrich

La exitosa acción fue posible gracias al apoyo de los siguientes países:

 

Finlandia: Policía Nacional (Poliisi)

Polonia: Oficina Central de Ciberdelincuencia de Cracovia ( Centralne Biuro Zwalczania Cyberprzestępczości – Zarząd w Krakowie)

Nueva Zelanda: Policía de Nueva Zelanda (Nga Pirihimana O Aotearoa)

Ucrania: Fiscalía General de Ucrania (Офіс Генерального прокурора України), Departamento de Ciberseguridad del Servicio de Seguridad de Ucrania (Служба безпеки України), Policía Nacional de Ucrania (Національна поліція України)

 

Fuente: Europol

#cibercrimen #ciberinteligencia #forense #Análisis #ransomware #ciberdelito #operaciónCriminal #OperaciónCronos #ciberdefensa