Las agencias policiales se han infiltrado y desmantelado Lockbit, un prolífico sindicato de ransomware detrás de ataques cibernéticos en todo el mundo, dijo el martes la Agencia Nacional contra el Crimen (NCA) de Gran Bretaña.
La agencia dijo que dirigió una operación internacional dirigida a LockBit, que proporciona ransomware como servicio a los llamados afiliados que infectan las redes de las víctimas con malware que daña las computadoras y negocian rescates. El grupo ha estado vinculado a miles de ataques desde 2019.
Horas antes del anuncio, la portada del sitio de LockBit fue reemplazada por las palabras “este sitio ahora está bajo control de las autoridades”, junto con las banderas del Reino Unido, los EE. UU. y varias otras naciones.
El mensaje decía que el sitio web estaba bajo el control de la Agencia Nacional contra el Crimen del Reino Unido “trabajando en estrecha cooperación con el FBI y el grupo de trabajo internacional de aplicación de la ley, Operación Cronos”.
Dice que se trata de una “operación en curso y en desarrollo” en la que también participan agencias de Alemania, Francia, Japón, Australia, Nueva Zelanda y Canadá, entre otros, incluida Europol.
LockBit, que opera desde 2019, ha sido el sindicato de ransomware más prolífico durante dos años consecutivos. El grupo representó el 23% de los casi 4.000 ataques a nivel mundial el año pasado en los que bandas de ransomware publicaron datos robados de las víctimas para extorsionar el pago, según la firma de ciberseguridad Palo Alto Networks.
Una operación cibernética ofensiva poco común para la agencia contra el crimen del Reino Unido, la operación tenía como objetivo robar todos los datos de LockBit y luego destruir su infraestructura, causando una “degradación importante y significativa” de la amenaza del delito cibernético.
En un anuncio del Departamento de Justicia se cita al Fiscal General de los Estados Unidos, Merrick Garland, diciendo: “Durante años, los asociados de LockBit han desplegado este tipo de ataques una y otra vez en los Estados Unidos y en todo el mundo. Hoy en día, las fuerzas del orden de Estados Unidos y el Reino Unido están quitándoles las claves de su operación criminal.
“Y vamos un paso más allá: también obtuvimos claves de la infraestructura LockBit incautada para ayudar a las víctimas a descifrar sus sistemas capturados y recuperar el acceso a sus datos. LockBit no es la primera variante de ransomware que el Departamento de Justicia y sus socios internacionales han desmantelado. No será el último”.
LockBit está dominado por hablantes de ruso y no ataca a las antiguas naciones soviéticas. El sindicato proporciona a los clientes la plataforma y el malware para realizar ataques y cobrar rescates.
Se ha relacionado con ataques contra el Royal Mail del Reino Unido, el Servicio Nacional de Salud de Gran Bretaña, el fabricante de aviones Boeing y el bufete de abogados internacional Allen and Overy. y el banco más grande de China, ICBC.
En junio pasado, las agencias federales de EE. UU. publicaron un aviso que atribuía alrededor de 1.700 ataques de ransomware en los Estados Unidos desde 2020 a LockBit y decía que las víctimas incluían “gobiernos municipales, gobiernos de condado, escuelas públicas de educación superior y escuelas K-12, y servicios de emergencia”.
Un funcionario de la NCA llamó a LockBit “el Instagram o Rolls-Royce” del ransomware y dijo que el objetivo de la operación era desacreditar al sindicato y “borrar su reputación”.
“Atacar la marca es tan importante como atacar la infraestructura”, dijo un funcionario de la NCA, añadiendo que el objetivo de la operación era “sembrar desconfianza entre todos los usuarios criminales y destrozar su credibilidad”.
El ransomware es la forma más costosa y disruptiva de delito cibernético, que paraliza a los gobiernos locales, los sistemas judiciales, los hospitales y las escuelas, así como a las empresas. Es difícil combatirlo ya que la mayoría de las pandillas tienen su sede en antiguos estados soviéticos y están fuera del alcance de la justicia occidental. Los organismos encargados de hacer cumplir la ley han obtuvo algunos éxitos recientes contra bandas de ransomware, más notablemente la operación del FBI contra el sindicato Hive. Pero los delincuentes se reagrupan y cambian de marca.
El Centro Nacional de Seguridad Cibernética de Gran Bretaña advirtió anteriormente que el ransomware sigue siendo una de las mayores amenazas cibernéticas que enfrenta el Reino Unido e insta a las personas y organizaciones a no pagar rescates si son atacadas.