A principios de semana nos sorprendía la noticia de la posible desmantelación del grupo cibercriminal LockBit, el más activo hasta el momento en materia de ransomware.

El FBI, junto a otras agencias, habían tomado los servidores del grupo, tal como se publicaba en este artículo, explicando que debemos tener cierta cautela ya que el propio grupo indicaba que disponía de infraestructura on-line operativa.

Este fin de semana el grupo lanzó un comunicado en samples.vx-underground.org indicando que estaban activos y operativos. En el comunicado, se explica con todo lujo de detalles la Operación Cronos y cómo ha sucedido desde el punto de vista del actor de amenazas.

Según indican, disponían de una vulnerabilidad en sus servidores con PHP 8.1.2, la cual aprovechó el FBI mediante la explotación de la vulnerabilidad CVE-2023-3824.

Esto permitió a las autoridades tomar el control de parte de la infraestructura del grupo, así como 1000 descifradores de ransomware que están a disposición de las organizaciones afectadas. En este punto, el grupo matiza que son más de 20.000 los descifradores disponibles y que el material incautado por el FBI es sólo una pequeña parte.

La motivación, según Lockbit, ha sido el leak sufrido en el Condado de Fulton (Fulton County, Estados Unidos) donde (siempre según el grupo) existen documentos de interés en uno de los procedimientos contra Donal Trump y que podrían interferir en las elecciones de Estados Unidos. Exponen que no es intención el perjudicar al candidato republicano, siendo la primera vez que este grupo se posiciona políticamente, llegando a amenazar con lanzar más ataques contra dominios gubernamentales .gov de USA.

El propio actor indica que esto es un reto personal y que está más activo que nunca, para ello, ha tomado medidas para proteger a sus afiliados y ha instalado la última versión de PHP y bastionado su infraestructura, paneles de control de los afiliados, blogs y métodos de acceso.

Incluso, se llega a “jactar” del FBI, invitando al profesional que ha realizado el pentesting a que, si su salario es inferior a un millón de dólares, trabajar para el propio grupo, lo cual nos indica que el actor de amenazas está más vivo que nunca.

Para terminar, nos muestra parte de los nuevos enlaces a sus blogs en la dark web, enlaces que hemos comprobado son verídicos y están activos, lo cual quiere decir que no se trata de un comunicado falso o que sirva de excusa para minimizar la Operación Cronos.

Rafa López
https://www.mypublicinbox.com/RFK13
Especialista en ciber incidentes. Profesor y apasionado de la ciberguridad. Mi actual rol es en Perception Point, expertos en protección de e-mail y cloud apps. Esta posición ha sido un cambio tras haber estado durante toda mi vida profesional gestionando crisis durante incidentes de ciberseguridad y dirigiendo equipos de CERT y soporte. Lo he compatibilizado con la arquitectura de ciberseguridad, gestión de productos, servicios y desarrollo de negocio.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre