LockBit, uno de los grupos de hackers más prolífico y dañino de los últimos años, fue desmantelado a través de un operativo policiaco liderado por el FBI de Estados Unidos y la NCA de Reino Unido.
En una operación policial internacional sin precedentes, la Agencia Nacional contra el Crimen (NCA) de Gran Bretaña, el Departamento de Justicia y la Oficina Federal de Investigaciones (FBI) de Estados Unidos interrumpieron las operaciones de uno de los grupos de ransomware más activos del mundo, LockBit, el cual ha ejecutado ataques contra más de 2 mil víctimas y recibido más de $120 millones de dólares en extorciones por robos de datos.
¿Cómo fue que interrumpieron las operaciones de LockBit?
A través de un operativo policiaco llamado Operación Cronos, en el cual participaron los departamentos de seguridad de 10 países distintos, las divisiones cibernéticas del NCA y el FBI lograron tomar el control de 34 servidores utilizados por los administradores de LockBit. Así mismo se apoderaron de 11 mil sitios web que eran usados por distintos miembros de la banda de hackers para conectarse a la infraestructura de la organización, interrumpiendo así su capacidad para atacar, robar datos y extorsionar a más víctimas.
“Juntos, hemos arrestado, acusado o sancionado a algunos de los perpetradores, así mismo obtuvimos acceso completo y sin precedentes a los sistemas, código fuente e infraestructura de Lockbit, recuperando además claves que ayudarán a las víctimas a descifrar sus sistemas”, declaró el director de la NCA, Graeme Biggar, en una rueda de prensa. “El día de hoy, LockBit ha sido fundamentalmente desmantelado, logramos hackear a los hackers”, puntualizó.
Antes de ser tomado por las autoridades, el sitio web de los ciberdelincuentes mostraba una lista de las organizaciones que habían sido sus víctimas, la cual se actualizaba prácticamente a diario. Junto a sus nombres aparecían contadores digitales con una cuenta regresiva de los días y horas que faltaban para la fecha límite que tenía cada empresa para evitar que se publicaran sus datos, realizando el pago del rescate.
Por otro lado, además de la incautación de la infraestructura tecnológica de LockBit, a través de la Operación Cronos, la EUROPOL y el Departamento de seguridad de los Estados Unidos arrestaron a tres miembros de la pandilla que operaban desde Polonia, Ucrania y Norteamérica.
El impacto de la Operación Cronos
La interrupción de la operación de LockBit podría ser una de las acciones más significativas que se ha emprendido en contra de un grupo de hackers en toda la historia, ya que los expertos en ciberseguridad involucrados en la operación consideran que ha sido el grupo de ransomware “más prolífico y dañino” que ha estado activo en los últimos años.
De hecho, según el FBI se estima que LockBit fue el responsable del 25% de los ciberataques realizados en el 2023, incluyendo recientes ataques al hospital infantil de Chicago, al servicio nacional de correos del Reino Unido, al fabricante de aviones Boeing y a la cadena de sándwiches Subway.
LockBit surgió en 2020 como una operación de ransomware como servicio. Desde entonces, la banda de hackers gana dinero robando información confidencial de organizaciones de cualquier rubro y amenazándolas con filtrar sus datos si no pagan el rescate. Sus afiliados son grupos criminales más pequeños distribuidos por todo el mundo que Lockbit recluta para realizar ataques utilizando su variante de ransomware.
Allan Liska, experto en ciberseguridad y analista de inteligencia de amenazas en Recorded Future, asegura que si bien es posible que algunos miembros de la banda continúen ejecutando ciberataques en menor medida, el operativo Cronos significa “el final de la operación de LockBit en su forma actual”.
“Están paralizados y su infraestructura está completamente expuesta, por lo que estas acciones de las autoridades tendrán un serio impacto en su reputación y capacidad para atraer nuevos afiliados en el futuro”, declaró Liska al respecto.
Sin duda la interrupción a la operación de LockBit por parte de las agencias gubernamentales es un importante triunfo para la industria de la ciberseguridad. Sin embargo, usualmente al ser desmantelados los grupos de hackers suelen reinventarse, cambiar de nombre y continuar con su operación, por lo que es importante para las empresas no bajar la guardia en materia de ciberseguridad, especialmente en esta era digital.