La Agencia Nacional contra el Crimen del Reino Unido (NCA) lideró una investigación internacional que logró desbaratar al grupo de ciberdelincuentes LockBit, uno de los más dañinos a nivel global.
De acuerdo a lo informado por la Agencia, después de infiltrarse en la red del grupo, la NCA tomó el control de los servicios de LockBit, comprometiendo toda su empresa criminal.
LockBit ha estado en funcionamiento durante cuatro años y durante ese tiempo, los ataques que utilizaron su ransomware fueron prolíficos. Los ataques de ransomware LockBit se dirigieron a miles de víctimas en todo el mundo y causaron pérdidas millonarias tanto en pagos de rescate como en costos de recuperación.
El grupo proporcionó ransomware como servicio (RaaS) a una red global de hackers informáticos o «afiliados», los que en estos dos años llegaron a ser cerca de 200 personas u organizaciones, a quienes les estregaban herramientas e infraestructura para llevar a cabo sus ciberataques.
La NCA no solo tomó el control del entorno de administración principal de la banda y que les permitía a sus afiliados crear y llevar a cabo sus ciberataques, sino también del sitio de filtraciones en el que alojaban y amenazaban con publicar datos robados de sus víctimas.
Además, la NCA obtuvo el código fuente de la plataforma de los cibercriminales y una gran cantidad de información de inteligencia de sus sistemas y acerca de sus actividades, así como un listado de las personas que trabajaron con ellos y de quienes utilizaron sus servicios para realizar ciberataques.
El trabajo conjunto liderado por la NCA del Reino Unido junto con otros nueve países (USA, Francia, Japón, Suiza, Canadá, Australia, Finlandia, Países Bajos, Suecia y Alemania), contó con la coordinación de Europol y Eurojust y fue denominada como operación Cronos.
«La operación de meses ha resultado en el compromiso de la plataforma principal de LockBit y otra infraestructura crítica que permitió su empresa criminal», dijo un portavoz de Europol, quien agregó que el golpe a la banda incluye la caída de » 34 servidores en los Países Bajos, Alemania, Finlandia, Francia, Suiza, Australia, Estados Unidos y el Reino Unido”.
Europol dijo que la » infraestructura está ahora bajo control policial, y más de 14.000 cuentas fraudulentas responsables de exfiltración o infraestructura han sido identificadas y remitidas para su eliminación por parte de las autoridades policiales». Como parte de la Operación Cronos, las fuerzas del orden también recuperaron más de mil claves de descifrado de los servidores LockBit. Utilizando estas claves de descifrado, la policía japonesa, la NCA y el FBI lograron desarrollar una herramienta de descifrado con el apoyo de Europol, la cual está disponible de forma gratuita en el sitio “No More Ransom”.
Durante la acción de las policías se recuperaron 200 billeteras de criptomonedas, pero aún se desconoce cuantas criptomonedas se encuentran almacenadas allí.
La policía también confiscó el panel de afiliados del grupo de ransomware y ahora muestra un mensaje a los afiliados después de iniciar sesión indicando que también se confiscaron su información, el código fuente de LockBit, los chats y la información de las víctimas.
«Tenemos código fuente, detalles de las víctimas que has atacado, la cantidad de dinero extorsionada, los datos robados, chats y mucho, mucho más», se indica en el mensaje, en el que también se advierte a los afiliados que pronto estarán en contacto con ellos.
Las fuerzas del orden arrestaron a dos operadores de la banda de ransomware LockBit en Polonia y Ucrania.
Las autoridades judiciales francesas y estadounidenses también emitieron tres órdenes de arresto internacionales y cinco acusaciones contra otros actores de la amenaza LockBit.
El Departamento de Estado de EE. UU. ofrece ahora una recompensa de hasta 15 millones de dólares a través del Programa de Recompensas contra el Crimen Organizado Transnacional por información sobre los asociados de LockBit: 10 millones de dólares por el liderazgo de LockBit y 5 millones de dólares adicionales para cualquier persona involucrada en ataques de ransomware LockBit.