Una operación policial internacional desmanteló al grupo de ciberdelincuentes LockBit, presentado como "el más dañino" del mundo por ataques que perjudicaron a miles de personas y causaron pérdidas millonarias a hospitales, alcaldías u otras instituciones. El operativo fue llevado a cabo por una coalición formada por el FBI y Europol, y liderada por la Agencia Nacional contra el Crimen de Reino Unido (NCA, por sus siglas en inglés).
El hecho fue dado a conocer este martes por las autoridades de varios países. "Después de infiltrarse en la red del grupo, la NCA tomó el control de los servicios de LockBit, comprometiendo la totalidad de su empresa criminal", anunció en un comunicado la agencia de lucha contra la delincuencia británica.
"Hackeamos a los hackers", indicó Graeme Biggar, director general de la NCA, anunciando la neutralización de LockBit en una conferencia de prensa en Londres. Según el organismo, el grupo atacó a "miles de víctimas en todo el mundo" y causó pérdidas que ascienden a miles de millones de dólares, incluidos los rescates pagados y los costes para las víctimas.
La Operación Cronos, que es como la bautizaron, tomó control de la plataforma de LockBit y la información que contenía. En concreto, el panel de afiliados, así como con el código fuente de LockBit, las conversaciones y la información de las víctimas, como recogen en Bleeping Computer. "Este sitio está ahora bajo control de las fuerzas del orden", se lee en una página del grupo, precisando que la NCA británica tomó el control de la web, en cooperación con el FBI estadounidense y las agencias de varios países.
En ese sentido, la fiscalía de París informó que el operativo permitió "tomar el control de una parte importante de la infraestructura del software LockBit, incluido el 'darknet'", y la "Wall of Shame" (Muro de la Vergüenza) "donde se publicaban los datos de quienes se negaban a pagar el rescate". Además, según la NCA británica, más de 200 cuentas de criptomonedas relacionadas con el grupo fueron congeladas y los investigadores obtuvieron más de 1.000 claves necesarias para descifrar los datos con el fin de devolverlos a sus propietarios.
Aunque esta operación desmanteló parte de la infraestructura de LockBit, el origen de sus operaciones se sitúan en Rusia, lo que dificulta la realización de detenciones, según matizan en TechCrunch. De hecho, el actor de amenazas que está detrás, Lockbitsupp, envió un mensaje en ruso informando a sus seguidores de que el FBI solo tocó los servidores PHP, pero no el resto.
Al respecto, según Biggar, las investigaciones no revelaron un "apoyo directo" del Estado ruso hacia LockBit, pero sí una "tolerancia" hacia la ciberdelincuencia en Rusia. "Son delincuentes cibernéticos. Tienen su sede en todo el mundo. Hay una gran concentración de estos individuos en Rusia y a menudo hablan ruso", subrayó el jefe de la NCA.
Por su parte, Christopher Wray, el director del FBI celebró el hecho y la labor en conjunta de los organismos. "A través de años de trabajo de investigación innovador, el FBI y nuestros socios han degradado significativamente las capacidades de los piratas informáticos responsables de lanzar devastadores ataques de ransomware contra infraestructuras críticas y otras organizaciones públicas y privadas en todo el mundo", afirmó.
Y agregó: "Esta operación demuestra nuestra capacidad y compromiso para defender la ciberseguridad y la seguridad nacional de nuestra nación de cualquier actor malicioso que busque impactar nuestra forma de vida. Continuaremos trabajando con nuestros aliados nacionales e internacionales para identificar, interrumpir y disuadir las amenazas cibernéticas y responsabilizar a los perpetradores".
En tanto, el ministro del Interior británico, James Cleverly destacó "la experiencia líder mundial" de la NCA, que permitió "asestar un duro golpe a las personas detrás de la cepa de ransomware más prolífica del mundo". "Los delincuentes que dirigen LockBit son sofisticados y altamente organizados, pero no han podido escapar del brazo de las fuerzas del orden del Reino Unido y de nuestros socios internacionales", expresó.
Qué es LockBit, el programa "más activo y destructivo de las variantes en el mundo"
LockBit es el nombre tanto de un 'ransomware' como de la banda que lo usa, que apareció en 2019 como un servicio a demanda (ransomware-as-a-service' (RaaS). Está especializado en ataques de tipo 'ransomware', que bloquean el acceso a la información de un equipo infectado, o a parte de ella, para exigir un pago a cambio de su liberación y se le considera uno de los más prolíficos, con cerca de 1.800 ataques.
El grupo se centró en infraestructuras críticas y grandes grupos industriales, con demandas de rescate que oscilan entre 5,4 y 75,4 millones de dólares. En 2023, el grupo atacó al operador postal británico, a un hospital canadiense para niños, y en Francia a los hospitales de Corbeil Essonnes y Versalles en la región parisina.
Los ciberdelincuentes ponían a disposición de sus "afiliados" herramientas e infraestructuras que les permitían realizar ataques. Estos consistían en infectar la red informática de las víctimas para robar sus datos y cifrar sus archivos. Luego, se exigía un rescate en criptomonedas para descifrar y recuperar la información, bajo amenaza de publicar los datos de las víctimas. De esa manera, recibieron más de 120 millones de dólares en rescates en total, según Estados Unidos, donde cinco personas -entre ellas dos ciudadanos rusos-, están siendo procesadas.
LockBit está considerado uno de los software maliciosos más activos del mundo, con más de 2.500 víctimas, "entre ellas hospitales, ayuntamientos y empresas de todos los tamaños", indicó en un comunicado la fiscalía de París. En ese sentido, en noviembre de 2022, el Departamento de Justicia de Estados Unidos (DoJ) calificó el programa malicioso como el "más activo y destructivo de las variantes en el mundo".
