Reino Unido, 20 de febrero del 2024 – En un hito significativo en la lucha contra el ciberdelito, las fuerzas de orden de 10 países han interrumpido la operación del grupo de ransomware LockBit en todos los niveles, dañando gravemente su capacidad.
La Agencia Nacional contra el Crimen (NCA) del Reino Unido reveló hoy, martes 20 de febrero, detalles de una campaña de disrupción internacional dirigida a LockBit, el grupo de delitos cibernéticos más dañino del mundo.
Esta redada internacional sigue a una compleja investigación dirigida por la Agencia Nacional contra el Crimen del Reino Unido en el marco de un grupo de trabajo internacional conocido como ‘Operación Cronos’, coordinado a nivel europeo por Europol y Eurojust.
La operación de meses de duración ha resultado en el compromiso de la plataforma principal de LockBit y otra infraestructura crítica que permitió su empresa criminal. Esto incluye la caída de 34 servidores en los Países Bajos, Alemania, Finlandia, Francia, Suiza, Australia, Estados Unidos y el Reino Unido.
Además, dos personas de LockBit han sido detenidos en Polonia y Ucrania a petición de las autoridades judiciales francesas. Las autoridades judiciales francesas y estadounidenses también han emitido tres órdenes de detención internacionales y cinco acusaciones.
Las autoridades han congelado más de 200 cuentas de criptomonedas vinculadas a la organización criminal, lo que subraya el compromiso de interrumpir los incentivos económicos que impulsan los ataques de ransomware.
Ahora, después de infiltrarse en la red del grupo, la Agencia Nacional contra el Crimen del Reino Unido ahora ha tomado el control de la infraestructura técnica que permite operar todos los elementos del servicio LockBit, así como su sitio de filtración en la dark web , en el que anteriormente alojaban los datos robados a las víctimas en ataques de ransomware.
En la actualidad, una gran cantidad de datos recopilados a lo largo de la investigación están en posesión de las autoridades. Estos datos se utilizarán para respaldar las actividades operativas internacionales en curso centradas en atacar a los líderes de este grupo, así como a los desarrolladores, afiliados, infraestructura y activos criminales vinculados a estas actividades criminales.
El ransomware más dañino del mundo
LockBit surgió por primera vez a finales de 2019 y primero se llamó a sí mismo ransomware «ABCD». Desde entonces, ha crecido rápidamente y en 2022 se convirtió en la variante de ransomware más implementada en todo el mundo.
El grupo es una operación de ‘ransomware como servicio’, lo que significa que un equipo central crea su malware y ejecuta su sitio web, mientras otorga licencias de su código a afiliados que lanzan ataques.
La presencia de ataque de LockBit se ve a nivel mundial, con cientos de afiliados reclutados para realizar operaciones de ransomware utilizando las herramientas e infraestructura de LockBit. Los pagos de rescate se dividieron entre el equipo central de LockBit y los afiliados, quienes recibieron en promedio tres cuartas partes de los pagos de rescate cobrados.
El grupo de ransomware también es famoso por experimentar con nuevos métodos para presionar a sus víctimas para que paguen rescates. La triple extorsión es uno de esos métodos que incluye los métodos tradicionales de cifrar los datos de la víctima y amenazar con filtrarlos, pero también incorpora ataques de denegación de servicio distribuido (DDoS) como una capa adicional de presión.
El paso de los ciberdelincuentes a la triple extorsión estuvo influenciado en parte por un ataque DDoS que ellos mismos sufrieron, que impidió su capacidad de publicar datos robados. En respuesta, LockBit mejoró su infraestructura para resistir tales ataques.
Esta infraestructura está ahora bajo control policial, y más de 14.000 cuentas fraudulentas responsables de exfiltración o infraestructura han sido identificadas y remitidas para su eliminación por parte de las autoridades.
El papel coordinador de Europol
Con países involucrados en ambos lados del mundo, Europol –que alberga la red más grande del mundo de funcionarios de enlace de los Estados miembros de la UE– jugó un papel central en la coordinación de la actividad internacional.
El Centro Europeo de Ciberdelincuencia (EC3) de Europol organizó 27 reuniones operativas y cuatro sesiones técnicas de una semana para desarrollar las pistas de investigación en preparación de la fase final de la investigación.
Europol también proporcionó apoyo analítico, de rastreo criptográfico y forense a la investigación, y facilitó el intercambio de información en el marco del Grupo de Trabajo Conjunto de Acción contra la Ciberdelincuencia (J-CAT) alojado en su sede. Además, durante la fase de acción se desplegaron tres expertos de Europol en el puesto de mando de Londres.
En total, se han intercambiado más de 1.000 mensajes operativos sobre este caso a través del canal de información seguro SIENA de Europol, lo que lo convierte en una de las investigaciones más activas de EC3.
El caso se abrió en Eurojust en abril de 2022 a petición de las autoridades francesas. La Agencia organizó cinco reuniones de coordinación para facilitar la cooperación judicial y preparar la acción conjunta.
Grupo de trabajo de la Operación Cronos
Esta actividad forma parte de una campaña concertada y en curso del grupo de trabajo internacional Operación Cronos para atacar e interrumpir el ransomware LockBit. Forman parte de este grupo de trabajo las siguientes autoridades:
- Francia: Gendarmería Nacional (Gendarmerie Nationale – Unité nationale cyber C3N)
- Alemania: Oficina Estatal de Investigación Criminal de Schleswig-Holstein (LKA Schleswig-Holstein), Oficina Federal de Policía Criminal (Bundeskriminalamt)
- Países Bajos: Policía Nacional (Equipo Cybercrime Zeeland-West-Brabant, Team Cybercrime Oost-Brabant, Team High Tech Crime) y Fiscalía de Zelanda-Brabant Occidental
- Suecia: Autoridad policial sueca
- Australia: Policía Federal Australiana (AFP)
- Canadá: Real Policía Montada de Canadá (RCMP)
- Japón: Agencia Nacional de Policía
- Reino Unido: Agencia Nacional contra el Crimen (NCA), Unidad Regional contra el Crimen Organizado del Suroeste (ROCU del Suroeste)
- Estados Unidos: Departamento de Justicia de EE. UU. (DOJ), Oficina Federal de Investigaciones (FBI) Newark
- Suiza: Oficina Federal Suiza de Policía (fedpol), Fiscalía del cantón de Zúrich, Policía Cantonal de Zúrich
También apoyaron la operación los siguientes países:
- Finlandia: Policía Nacional
- Polonia: Oficina Central de Ciberdelincuencia de Cracovia
- Nueva Zelanda: Policía de Nueva Zelanda
- Ucrania: Fiscalía General de Ucrania. Departamento de Ciberseguridad del Servicio de Seguridad de Ucrania, Policía Nacional de Ucrania