LockBit: el grupo de ransomware más grande desmantelado en una operación multinacional

En una operación internacional conjunta, las fuerzas del orden han incautado múltiples dominios darknet operados por el grupo de ransomware LockBit, conocido por ser uno de los más prolíficos. La acción, denominada Operación Cronos, involucró a autoridades de 11 países y se realizó explotando una vulnerabilidad crítica en PHP.

La web vinculada al grupo de ransomware LockBit se encuentra bajo control de las fuerzas policiales de 11 países como parte de una operación internacional que ha desmantelado parte de su infraestructura. La Agencia Nacional Contra el Crimen del Reino Unido (NCA) ha dirigido el «Operativo Cronos» con la asistencia de Europol y Eurojust. Mientras que la extensión completa del esfuerzo es desconocida, al visitar el sitio .onion del grupo se muestra un banner de incautación con el mensaje «El sitio está ahora bajo el control de la aplicación de la ley».

Autoridades de 11 países (Australia, Canadá, Finlandia, Francia, Alemania, Japón, los Países Bajos, Suecia, Suiza, el Reino Unido y Estados Unidos, junto con Europol) participaron en el ejercicio conjunto.

En un mensaje publicado en X (Twitter), el grupo de investigación de malware VX-Underground dijo que los sitios fueron derribados aprovechando una vulnerabilidad de seguridad crítica que afecta a PHP (CVE-2023-3824, puntuación CVSS: 9.8) que podría resultar en la ejecución remota de código.

Lockbit: grupo de ransomware

Estamos hablando del grupo de piratas informáticos más prolífico del mundo cuyos ataques más recientes han alcanzado el Puerto de Lisboa, el banco chino ICBC y el Ayuntamiento de Sevilla.

LockBit, que surgió el 3 de septiembre de 2019, ha sido uno de los grupos deransomware más activos y notorios de la historia, reclamando más de 2.000 víctimas. Se estima que ha extorsionado al menos 91 millones de dólares solo de organizaciones estadounidenses. Según datos compartidos por la firma de ciberseguridad ReliaQuest, LockBit enumeró 275 víctimas en su portal de filtración de datos en el cuarto trimestre de 2023, superando con creces a todos sus competidores. Aún no hay noticias de arrestos o sanciones. Sin embargo, el desarrollo es un golpe definitivo a las operaciones a corto plazo de LockBit y llega dos meses después de que el gobierno de EE. UU. desmantelara la operación de ransomware BlackCat.

«A través de nuestra estrecha colaboración, hemos hackeado a los hackers; tomado el control de su infraestructura, incautado su código fuente y obtenido claves que ayudarán a las víctimas a descifrar sus sistemas», dijo Graeme Biggar, Director General de la NCA.

«A partir de hoy, LockBit está bloqueado. Hemos dañado la capacidad y, lo más notable, la credibilidad de un grupo que dependía de la secrecía y el anonimato. LockBit puede intentar reconstruir su empresa criminal. Sin embargo, sabemos quiénes son y cómo operan».

Dejaron una nota en el panel de afiliados, indicando que tienen «el código fuente, detalles de las víctimas que has atacado, la cantidad de dinero extorsionado, los datos robados, chats y mucho, mucho más», agregando que fue posible debido a la «infraestructura defectuosa» de LockBit.

La NCA se ha comprometido a ponerse en contacto con las víctimas de Reino Unido para que puedan utilizar las claves para las que se prevé que estas sean añadidas a la página “No More Ransom” que controla la Europol. Las víctimas de ataques podrán utilizar este recurso para descubrir las últimas claves de descifrado de LockBit. Y se alienta a las víctimas de este malware a comunicarse con el FBI en https://lockbitvictims.ic3.gov/ para permitir que las autoridades determinen si los sistemas afectados se pueden descifrar con éxito.

Más información:

• https://www.nationalcrimeagency.gov.uk/news/nca-leads-international-investigation-targeting-worlds-most-harmful-ransomware-group
• https://nvd.nist.gov/vuln/detail/CVE-2023-3824
• https://twitter.com/vxunderground/status/1759732862335504773
• https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant
• https://en.wikipedia.org/wiki/Lockbit
• https://thehackernews.com/2024/02/lockbit-ransomware-operation-shut-down.html
• https://thehackernews.com/2024/02/lockbit-ransomwares-darknet-domains.html
• https://www.xataka.com/seguridad/adios-lockbit-banda-ransomware-peligrosa-mundo-ha-sido-desmantelada-operacion-internacional

La entrada LockBit: el grupo de ransomware más grande desmantelado en una operación multinacional se publicó primero en Una al Día.