Una gran operación policial internacional se ha hecho con el control de la web de la banda de ransomware LockBit. Hasta 11 países han colaborado para confiscar los sistemas de este peligroso grupo de cibercriminales al que se le atribuyen el mayor número de ataques por todo el mundo. Dos personas han sido detenidas. Siendo el tercer país del mundo más atacado, esta banda consiguió recientemente en España secuestrar los sistemas informáticos del Ayuntamiento de Sevilla.
"Este sitio está ahora bajo el control de la Agencia Nacional contra el Crimen del Reino Unido, trabajando en estrecha cooperación con el FBI y el grupo de trabajo internacional de aplicación de la ley, 'Operación Cronos'", esta frase se puede leer en la web de grupo de hackers. "Podemos confirmar que los servicios de LockBit se han visto interrumpidos como resultado de la acción de las autoridades internacionales; esta es una operación en curso y en desarrollo"
Se han confiscado 11.000 dominios utilizados por LockBit y sus afiliados para realizar los ataques ransomware por los que eran famosos. La banda cifra los archivos de los sistemas de sus víctimas para después pedir un rescate económico. Los investigadores de Recorded Future le atribuyen 2.300 ataques a este grupo que ha ocupado los primeros puestos del cibercrimen mundial desde 2019. Conti, el segundo grupo más activo, sólo ha sido vinculado públicamente con 883 ataques.
No obstante, además de provocar pérdidas económicas, esta banda de piratas informáticos también se considera responsables de hackeos que han afectado a infraestructuras críticas como el hospital infantil más grande de Canadá en las Navidades de 2022. Los centros médicos eran habituales entre sus víctimas. El FBI está rastreando 144 millones en rescates pagados a LockBit, pero hay más en Europa y el resto del mundo.
Para dar el golpe, las agencias policiales violaron los servidores de LockBit utilizando un exploit PHP aprovechando una vulnerabilidad del sistema. Los agentes tomaron el control del equipo de LockBit, incluidos servidores con datos de víctimas, servidores para compartir archivos y servidores de comunicación, dijo. Eso ayudará a las autoridades a devolver los datos robados a las empresas y otras organizaciones pirateadas por LockBit, además de aplicar sanciones contra los responsables.
Dos operadores han sido detenidos en Polonia y Ucrania. Las autoridades judiciales francesas y estadounidenses también emitieron tres órdenes de arresto internacionales y cinco acusaciones contra otros actores de LockBit.
[Detenido indefinidamente el hacker adolescente responsable de atacar Uber, Revolut y GTA VI]
Bleeping Computer también ha confirmado que los sistemas que usaba la banda para negociar rescates también están inactivos, aunque no muestran ningún mensaje de incautación y algunos otros espacios online relacionados con LockBit seguirían en pie. El resultado de esta operación no significa el fin de la banda, como ocurre habitualmente en ciberseguridad, las bandas se reinventan con nuevos sistemas de ataque e incluso nombres distintos.
"Sin lugar a dudas, los líderes de LockBit estarán discutiendo sus planes para cambiar a un nuevo ransomware cuando se publique esta historia, pero cualquiera que sea su nuevo ransomware, será muy inferior en comparación con LockBit y habrá una extrema falta de confianza entre los afiliados para la nueva oferta", añadió a Fiscal General Adjunta, Lisa Monaco, en la Conferencia de Seguridad Cibernética de Munich.
Las autoridades responsables de esta operación celebran el golpe contra la banda que ha mantenido todo este tiempo una actitud desafiante. "Esta es una victoria enormemente simbólica. El grupo detrás de LockBit ha pasado los últimos años riéndose y burlándose de las autoridades, y en un momento incluso pagó a personas para que se hicieran tatuajes de LockBit. Han creado un culto de seguidores en ciertos círculos", explican. El departamento de justicia de Estados Unidos ha emitido un vídeo con la información de la operación.
La operación Cronos es la última de una serie de operaciones fruto de la colaboración internacional. A fines del año pasado, el FBI y otras agencias eliminaron la web e infraestructura pertenecientes a grupos como Qakbot, Rangar Locker y otros. España, por ejemplo, ha participado en el golpe policial contra la banda BlackCat a finales de 2023.