La banda de ransomware LockBit, una de las más peligrosas y activas, ha sufrido un duro revés. Una operación internacional (denominada Operación Chronos) en la que han colaborado fuerzas del orden de varios países ha asestado un fuerte golpe a la pandilla de ciberdelincuentes.
Su sitio en la dark web, donde la operación de ransomware suele publicar sus víctimas y los datos filtrados de estas, ha sido interrumpido y ahora muestra un mensaje que reza "la página ahora está bajo el control de las autoridades". En concreto, bajo el de la Agencia Naciona Contra el Crimen (NCA) del Reino Unido.
Esta agencia ha colaborado con el FBI y organizaciones policiales de Francia, Japón, Alemania, Suecia, Finlandia, Holanda, Suiza, Australia y Canadá.
Las páginas web son solo una fachada y una muestra al exterior de los grupos de ransomware, así que esto podría significar que no se ha acabado con los cibermalos completamente.
No obstante, Europol se ha atribuido el mérito de cerrar LockBit, por lo que quizás la Operación Chronos si haya conseguido interrumpir las operaciones de esta pandilla.
Uno de los grupos de ransomware más prolíficos
LockBit ha sido uno de los grupos de ransomware más peligrosos y activos de los últimos años. Las autoridades estadounidenses detectaron al menos 1.700 ataques en el país hasta mediados de 2023.
También ha sido una pionera del ransomware como servicio, ofreciendo sus productos a sus afiliados, los cuales se encargaban de negociar con las víctimas y enviar a la pandilla parte del botín. Como este modelo perdió fuelle, empezaron a presionar para aumentar el precio de los rescates.
Hasta la fecha se pensaba que LockBit estaba dirigido desde Moscú. Puede que pertenezca a una campaña mayor para hacer daño a los enemigos de dicho país, según teoriza The Register.
****Actualización 12.30h
Las fuerzas del orden han dado nuevos detalles en referencia a la Operación Chronos. Han arrestado a dos operadores de la banda en Polonia y Ucrania, han creado una herramienta de descrifrado para recuperar archivos cifrados de manera gratuita y han consfiscado más de 200 criptomonederos tras piratear los servidores de la banda.
Además, las autoridades judiciales francesas y estadounidenses han emitido tres órdenes de arresto internacionales y cinco acusaciones contra otros actores de amenazas de LockBit.
Dos de ellas son contra dos ciudadanos rusos, Artur Sungatov e Ivan Gennadievich Kondratiev (alias Bassterlord), por su participación en los ataques LockBit.
Según informa Bleeping Computer, los cargos anteriores contra los actores del ransomware incluyen a Mikhail Vasiliev (noviembre de 2022), Ruslan Magomedovich Astamirov (junio de 2023), y Mikhail Pavlovich Matveev alias Wazawaka (mayo de 2023).
"La operación de meses ha resultado en el compromiso de la plataforma principal de LockBit y otra infraestructura crítica que permitió su empresa criminal", ha comentado hoy Europol.
"Esto incluye la caída de 34 servidores en los Países Bajos, Alemania, Finlandia, Francia, Suiza, Australia, EE.UU y el Reino Unido".
"Esta infraestructura está ahora bajo control policial, y más de 14.000 cuentas fraudulentas responsables de exfiltración o infraestructura han sido identificadas y remitidas para su eliminación por parte de las autoridades policiales", concluyen.