Las fuerzas de seguridad de 10 países consiguieron desarticular el famoso ransomware LockBit en una operación conjunta bautizada como “Operación Cronos”. Así, el sitio web principal de filtración de datos de esta organización criminal ya no es accesible, mostrando un banner de incautación o un mensaje de error.

Situación actual del ransomware LockBit

El aviso especifica que el dominio se encuentra bajo el control de la Agencia Nacional contra el Crimen del Reino Unido. “El sitio está ahora bajo el control de las fuerzas del orden. Este site está bajo el control de la Agencia Nacional contra el Crimen del Reino Unido, trabajando en estrecha cooperación con el FBI y la task force internacional Operación Cronos”, se puede leer en el banner. 

No obstante, otros sitios de la dark web de la banda (incluyendo los utilizados para alojar datos y enviarse mensajes privados entre los criminales) no dejaron de estar en línea. Los sitios conocidos de negociación de rescates de LockBit. por su parte, están inactivos, aunque estos no muestran actualmente ningún mensaje de incautación por parte de la NCA británica.

Detalles sobre LockBitSupp y la comunicación a través de Tox

La organización de ciberdelincuencia LockBit está dirigida por una entidad llamada LockBitSupp, que se comunica a través del servicio de mensajería Tox. El estado de su cuenta en el servicio mostraba esos días un mensaje en ruso en el que se reconocía que el FBI había accedido a los servidores de la operación de ransomware utilizando un exploit PHP, pero que los servidores backups que no utilizan PHP están fuera del alcance de las autoridades. 

El investigador de seguridad Kevin Beaumont fue uno de los primeros en confirmar que los servidores de Lockbit seguían en línea a pesar de la operación policial (34 servidores neutralizados, dos detenciones, 200 cuentas de criptomoneda congeladas…). Al mismo, tiempo Beaumont subrayó que esto implica una valiosa lección para las organizaciones que accedan a pagar rescates (una práctica desaconsejada): “LockBit no borra los datos después del pago, así que buena suerte convenciendo después a los organismos reguladores de datos de que no se ha robado ninguna información”. 

La operación de ransomware como servicio (RaaS) LockBit apareció en septiembre de 2019 y desde entonces ha atacado a una amplia gama de importantes organizaciones en todo el mundo. La lista de víctimas incluye el correo británico Royal Mail, la ciudad de Oakland, la multinacional Continental y la Agencia Tributaria italiana. Más recientemente, Bank of America alertó a sus clientes de que su información personal había quedado expuesta en una filtración de datos después de que Infosys McCamish Systems (IMS), uno de sus proveedores de servicios, fuera pirateado en un ataque reivindicado por LockBit. 

91 millones de dólares de rescates

Las autoridades de ciberseguridad de varios países de todo el mundo afirmaron en un aviso conjunto publicado en junio que LockBit había extorsionado al menos 91 millones de dólares a organizaciones estadounidenses, resultado de 1.700 ataques desde 2020. En los últimos años, las fuerzas de seguridad también incautaron los servidores del ransomware ALPHV (BlackCat) y los sitios de pago y fuga de datos Tor del ransomware Hive, en operaciones similares. 

La policía también ha indicado que incautaron el código fuente, los chats y la información de las víctimas de LockBit y de sus cómplices. “Las fuerzas del orden han tomado el control de la plataforma de Lockbit y han obtenido toda la información que allí se guarda. Esta información está relacionada con el grupo y contigo, su afiliado. Tenemos el código fuente, detalles de las víctimas que has atacado, la cantidad de dinero extorsionado, los datos robados, chats y mucho, mucho más”, reza el mensaje que aparece en el panel de Lockbit.