Agentes de hasta diez países han llevado a cabo una operación sin precedentes conocida como «Operación Cronos” donde han logrado dar un fuerte golpe al grupo de ransomware LockBit dejando inactiva su web y otros servicios.
LockBit, el grupo conocido por sus ataques de ransomware a gran escala en organizaciones de alto perfil en todo el mundo, ha sido un dolor de cabeza constante para las instituciones afectadas y las agencias de seguridad, de hecho estuvo detrás del 20% de ataques el pasado mes de enero. Sin embargo, esta vez, el esfuerzo colaborativo internacional ha dado un golpe significativo a este grupo criminal.
En el sitio web de filtración de datos de LockBit aparece ahora un anuncio en el que se informa que la página está ahora bajo el control de la Agencia Nacional del Crimen (NCA) del Reino Unido. «El sitio está ahora bajo el control de la aplicación de la ley. Este sitio está ahora bajo el control de la Agencia Nacional del Crimen del Reino Unido, trabajando en estrecha cooperación con el FBI y la fuerza de tarea de aplicación de la ley internacional, Operación Cronos», declara el anuncio.
Desactivación y bloqueo del sitio web y servidores
La desarticulación de los servicios de LockBit es el resultado de una acción concertada de la aplicación de la ley internacional, y aunque el sitio de filtración de LockBit ya no es accesible, mostrando el mensaje de incautación o un error de «No se puede conectar», algunos de los otros sitios en la dark web de la banda (incluidos otros sitios utilizados para alojar datos y enviar mensajes privados a la banda) todavía están activos. Sin embargo, se ha confirmado que otros sitios relacionados con el grupo ransomware de LockBit están caídos, aunque actualmente no muestran un mensaje de incautación por parte de la NCA.
La portavoz de la NCA confirmó que los servicios de LockBit han sido interrumpidos como resultado de la acción de la ley internacional. Esto subraya la importancia de la cooperación entre diferentes gobiernos para abordar amenazas que no conocen fronteras.
Además, el grupo de ciberdelincuentes conocido como LockBitSupp, quien dirige la operación LockBit y se comunica a través del servicio de mensajería Tox, ahora muestra un mensaje en su estado indicando que el FBI bloqueó los servidores de la operación de ransomware utilizando un exploit de PHP. Este detalle técnico revela la sofisticación de las tácticas empleadas por los agentes para infiltrarse y desmantelar las infraestructuras utilizadas por grupos de ciberdelincuentes.
Millones de dólares de beneficio en sus ciberataques desde 2019
Desde su aparición en septiembre de 2019, el grupo de ransomware como servicio (RaaS) de LockBit ha apuntado a una amplia gama de organizaciones de alto perfil en todo el mundo, incluyendo el Royal Mail del Reino Unido, la Ciudad de Oakland, el gigante automovilístico Continental y el Servicio de Ingresos Internos de Italia.
Además, el Banco de América recientemente advirtió a sus clientes que su información personal fue expuesta en una infracción de datos después de que Infosys McCamish Systems (IMS), uno de sus proveedores de servicios, fue hackeado en un ataque reclamado por la banda de ransomware LockBit.
Las autoridades de ciberseguridad en los Estados Unidos y socios en todo el mundo han indicado en un aviso conjunto que la banda LockBit ha extorsionado al menos 91 millones de dólares de organizaciones estadounidenses tras hasta 1.700 ataques desde 2020.
La incautación del panel de afiliados de LockBit y el mensaje que indica que el código fuente de LockBit, los chats y la información de las víctimas también fueron incautados, es un recordatorio de que la infraestructura de estos grupos de ransomware es vulnerable a las acciones de las agencias de la ley.