LockBit, descrita por las fuerzas del orden «como una de las bandas de ransomware más prolíficas del mundo», ha sido desmantelada en una campaña coordinada en la que han participado funcionarios de Estados Unidos, Reino Unido y media docena de países más, según han anunciado hoy varios organismos.
El Departamento de Justicia de EE.UU. hizo pública una acusación contra dos hombres rusos, Artur Sungatov e Ivan Kondratyev, por llevar a cabo ataques LockBit contra empresas estadounidenses. Sungatov presuntamente atacó a fabricantes, firmas de seguros y otras empresas en al menos seis estados desde enero de 2021.
«Hoy, las fuerzas de seguridad de Estados Unidos y el Reino Unido le están quitando las llaves de su operación criminal», dijo el fiscal general de Estados Unidos, Merrick Garland, en el comunicado del DOJ. «Y vamos un paso más allá: también hemos obtenido claves de la infraestructura incautada de LockBit para ayudar a las víctimas a descifrar sus sistemas capturados y recuperar el acceso a sus datos».
Kondratyev, conocido en Internet como «Bassterlord», presuntamente desplegó el ransomware en objetivos que van desde gobiernos municipales a corporaciones en Oregón, Puerto Rico y en el extranjero a partir de agosto de 2021.
El alcance global de la Operación Cronos para acabar con LockBit. Imagen: Europol
La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro sancionó a Sungatov y Kondratyev, prohibiendo a particulares y empresas estadounidenses hacer negocios con ellos y congelando cualquier activo bajo jurisdicción estadounidense, y añadió a la lista de sanciones nueve direcciones de monederos de Bitcoin y una de Ethereum vinculadas a ellos.
La «Operación Cronos», de varios meses de duración, dio lugar a la incautación de docenas de servidores en Europa, Norteamérica y Australia que se utilizaban para llevar a cabo los ataques de ransomware de LockBit, que encriptaban los datos de las víctimas y las extorsionaban para que pagaran, según un comunicado publicado el martes por Europol.
Las autoridades también tomaron el control del portal en la web oscura donde LockBit publicaba datos sensibles robados a las víctimas que se negaban a pagar.
«Ahora hemos destruido la columna vertebral en línea del grupo LockBit, una de las bandas de ransomware más prolíficas del mundo», dijo la directora ejecutiva de Europol, Catherine De Bolle, en el comunicado.
«El primer paso para poner a los ciberdelincuentes entre rejas es denunciar la ciberdelincuencia cuando se produce», añadió. «Cuanto antes se denuncie, antes podrán las fuerzas del orden evaluar las nuevas metodologías y limitar el daño que pueden causar».
¿Qué era LockBit?
LockBit apareció por primera vez a principios de 2020, utilizando un ransomware que cifra los archivos de las víctimas y las bloquea de sus redes a menos que paguen un rescate, generalmente en criptodivisas. Según la acusación del DOJ, los pagos se exigían normalmente en Bitcoin.
Al igual que otras bandas de «ransomware como servicio», LockBit operaba a través de un grupo central de desarrolladores que creaban las herramientas de malware y gestionaban la infraestructura, y luego reclutaban afiliados para infectar objetivos a cambio de una parte de los beneficios. Los desarrolladores de LockBit mantenían un panel de control que permitía a los afiliados lanzar ataques con unos pocos clics.
En 2022, LockBit eclipsó a otras variedades de ransomware y se convirtió en la más extendida del mundo, según Europol. El sindicato recaudó más de 120 millones de dólares en rescates de más de 2.000 víctimas en todo el mundo, según el Departamento de Justicia, con demandas totales que probablemente alcanzaron los cientos de millones.
LockBit adquirió notoriedad por utilizar la «triple extorsión», amenazando a las víctimas no sólo con cifrar los datos, sino también con exponer la información robada y provocar ataques de denegación de servicio.
Las autoridades contraatacan
El grupo operativo «Operación Cronos», formado por fuerzas de seguridad de 10 países, estuvo atacando LockBit durante meses. El punto de inflexión se produjo con la incautación de docenas de servidores de mando y control de los que LockBit dependía para desplegar el ransomware y gestionar sus operaciones. Las autoridades han «tomado el control de la infraestructura técnica que permite el funcionamiento de todos los elementos del servicio LockBit», según Europol.
Como resultado, «más de 14.000 cuentas fraudulentas responsables de la filtración o de la infraestructura han sido identificadas y remitidas para su eliminación», declaró la agencia.
Además, funcionarios franceses y estadounidenses han detenido o presentado cargos contra una lista cada vez mayor de presuntos miembros de LockBit. Polonia detuvo al sospechoso de ransomware Ivan Kondratiev en octubre de 2022, mientras que otro ciudadano ruso fue arrestado en Ucrania.
Se han emitido tres órdenes de detención internacionales en relación con la reciente ofensiva. Las autoridades francesas también consiguieron cinco acusaciones. Entretanto, las autoridades han congelado las carteras de criptomoneda que los miembros de LockBit supuestamente utilizaban para pagar rescates.
«Esto subraya el compromiso de interrumpir los incentivos económicos que impulsan los ataques de ransomware», dijo el DOJ.
Ayudar a las víctimas a recuperarse
Con el control de los sistemas de LockBit, las autoridades han obtenido claves de descifrado para ayudar a cientos de víctimas a recuperar el acceso a sus datos.
«Estamos dando la vuelta a la tortilla contra LockBit, proporcionando claves de descifrado, desbloqueando los datos de las víctimas y persiguiendo a las filiales delictivas de LockBit en todo el mundo», declaró la Vicefiscal General Lisa Monaco en el anuncio.
Se anima a las víctimas de los ataques de LockBit a ponerse en contacto con las fuerzas del orden a través de un sitio web del Departamento de Justicia para determinar si sus archivos pueden ser descifrados.
Estas soluciones también se han puesto a disposición de forma gratuita en el portal «No More Ransom», disponible en 37 idiomas. Hasta ahora, más de 6 millones de víctimas en todo el mundo se han beneficiado de No More Ransom, que contiene más de 120 soluciones capaces de desencriptar más de 150 tipos de ransomware.
Mónaco afirmó que la operación supone un importante revés para uno de los grupos de ransomware más agresivos, pero que no será la última acción contra los ciberdelincuentes.
«Nuestra investigación continuará, y seguimos tan decididos como siempre a identificar y acusar a todos los miembros de LockBit, desde sus desarrolladores y administradores hasta sus afiliados», dijo el fiscal federal Philip Sellinger. «Los señalaremos como delincuentes buscados. Ya no se esconderán en las sombras».
