La gran banda de cibercrimen mediante ransomware Lockbit ha caído, pero el negocio de más de mil millones no va a decaer y solo cambiará de manos. Mientras al grupo desmantelado se le hace responsable de casi 2.300 ataques desde 2019, y copaba el 25% de los cibertaques, se espera que a partir de ahora le sustituya Blackcat, el segundo grupo más activo con un 8,5% de incidencia. Los expertos, que consideran que Lockbit no ha desaparecido del todo, esperan un repunte de la actividad de grupos como Akira, Black Basta, Alphv, BianLian, Everest y CACTUS, o también otros conocidos como Grupo Clop o Cl0p y Vice Society que han actuado ya en el panorama internacional.
El sitio web de la banda de ransomware Lockbit, descubierta en 2020 cuando se encontró su software malicioso del mismo nombre en foros de ciberdelincuencia en ruso, lo anunciaba a bombo y platillo. «Este sitio está ahora bajo el control de la Agencia Nacional contra el Crimen del Reino Unido, trabajando en estrecha cooperación con el FBI y el grupo de trabajo internacional de aplicación de la ley, ‘Operación Cronos'».
Agencias como la NCA (Agencia Nacional contra el Crimen de Gran Bretaña), el Departamento de Justicia de Estados Unidos, el FBI y Europol han conseguido juntas anunciar esta semana la desarticulación de los cibercriminales a los que se les atribuyen haber atacado a más de 2.000 víctimas en todo el mundo, por lo que han recibido más de 120 millones de dólares en pagos de rescate y exigido cientos de millones de dólares. Se les atribuye también haber causado más de mil millones de euros en pérdidas en todo el mundo. También han participado policías de Francia, Japón, Suiza, Canadá, Australia, Suecia, Países Bajos, Finlandia y Alemania.
CIBERCRIMEN POR DINERO
Una operación policial internacional, denominada «Operación Cronos», ha estado dirigida por la NCA de Gran Bretaña y el FBI ha conseguido arrestar y acusar a miembros de la banda de ransomware Lockbit, en una operación policial sin precedentes que ha golpeado a una de las bandas de ciberdelincuentes más notorias del mundo. Estados Unidos ha sido el país encargado de acusar a dos ciudadanos rusos, Artur Sungatov e Ivan Kondratyev, también conocido como Bassterlord, de implementar el ransomware Lockbit contra empresas y grupos de todo el mundo. Pero no ha sido el único estado involucrado. La policía de Polonia y la de Ucrania realizaron también sus respectivos arrestos de manera coordinada.
Las agencias involucradas han presumido de lo conseguido al decir con orgullo, en boca del director general de la NCA, Graeme Biggar, que «hemos pirateado a los piratas informáticos. Hemos tomado el control de su infraestructura, nos hemos apoderado de su código fuente y hemos obtenido claves que ayudarán a las víctimas a descifrar sus sistemas«. Biggar ha sentenciado que «Lockbit ha sido bloqueado», aunque la investigación después ha continuado «en curso y en desarrollo».
Estados Unidos ha sido el país encargado de acusar a dos ciudadanos rusos y la policía de Polonia y la de Ucrania realizaron también sus respectivos arrestos de manera coordinada
La Operación Cronos ha confiscado 34 servidores de Lockbit, arrestado a dos miembros de la banda, congelado 200 cuentas de criptomonedas y cerrado 14.000 «cuentas corruptas» online utilizadas para lanzar las operaciones del grupo de ciberdelincuentes.
Y es que hay mucho delincuente que buscar para desmantelar totalmente a una banda que a través de la red ha secuestrado sistemas y datos de más de 1.700 organizaciones en casi todas las industrias, desde servicios financieros y alimentos hasta escuelas, transporte y departamentos gubernamentales.
La NCA, el FBI y Europol transformaron el sitio web de filtraciones Lockbit en un sitio de filtraciones sobre la propia banda criminal, en el que las agencias policiales internacionales publicaron datos internos del grupo y relojes de cuenta atrás que amenazaban con revelar próximas sanciones y la identidad del cabecilla de Lockbit, «LockbitSupp».
No obstante, un representante de Lockbit ha tenido el «cuajo» de publicar en una app de mensajería cifrada que el grupo contaba con servidores de respaldo a los que la policía no había podido llegar. Esta posibilidad es la que los organismos policiales tratan de confirmar para anular completamente las acciones de este grupo de cibercriminales. La banda gana dinero mediante el robo de datos confidenciales y la amenaza de filtrarlos si las víctimas no pagan un rescate exorbitante, mediante criptomonedas. Sus «militantes» son grupos criminales con ideas afines que Lockbit recluta para realizar ataques mediante sus herramientas de extorsión digital.
La banda gana dinero mediante el robo de datos confidenciales y la amenaza de filtrarlos si las víctimas no pagan un rescate exorbitante, mediante criptomonedas.
Este grupo dedicado al cibercrimen nunca ha reconocido apoyar a ningún gobierno, ni ningún gobierno le ha atribuido formalmente la relación con ningún Estado-nación, aunque sí habían reconocido estar ubicados «en los Países Bajos» y cuál era su motivación: «Somos completamente apolíticos y sólo nos interesa el dinero». La banda ha conseguido piratear con sus acciones algunas de las organizaciones más importantes del mundo, como Boeing, el grupo de servicios de comercio financiero ION, el Banco Industrial y Comercial de China (ICBC), que consiguió interrumpir las transacciones en el mercado del Tesoro de Estados Unidos.
En España, se han atribuido a este grupo los ciberataques sufridos por Ayuntamiento de Sevilla a principios de septiembre del pasado año, el de Globalcaja a principios de junio también de 2023, el del Hospital Clínic de Barcelona en marzo o el de la empresa Hiberus a finales de ese mismo mes. Telepizza, el despacho Sagardoy o el Concello de Cangas, en Galicia, son también sistemas atacados el pasado año por Lockbit.
LOCKBIT Y SU SISTEMA DE ATAQUE
Tal y como explican los expertos en ciberseguridad consultados, su funcionamiento consistía en infectar el sistema de una organización víctima con ransomware (software malicioso que cifra los datos) y después obligaba a los responsables de sus objetivos a pagar un rescate para descifrar los datos o desbloquear los sistemas. El rescate se exigía en forma de criptomoneda,porque son más difíciles de rastrear y proporcionan anonimato al receptor.
Lockbit no ha desaparecido del todo, sigue teniendo actividad y es probable que regrese con fuerza con otro nombre, tal y como ha pasado anteriormente con otros grupos de ransomware
Lockbit presumía de sus ataques a través de su sitio en su blog de la dark web, donde se podían ver las organizaciones atacadas con su correspondiente reloj con una cuenta atrás que mostraban el número de días que quedaban para la fecha límite con la que la empresa o institución atacada contaba para pagar el rescate y así evitar la publicación de los datos confidenciales que la banda les había robado.
Los atacados han tenido que buscar la ayuda de empresas especializadas en ciberseguridad para conocer qué datos habían sido robados, y así negociar de manera privada, y sin que se reconozca públicamente estas conversaciones, para afinar el monto del rescate, lo que podía llevar días o semanas de tiempo que, en definitiva, redundaba en enormes pérdidas económicas para la empresa o institución atacada.
LOS HEREDEROS DEL RANSOMWARE
El director de Investigación y Concienciación de ESET España, Josep Albors, indica que los grupos de ransomware que pueden hacerse con este mercado tras este debilitamiento de Lockbit son los conocidos como Akira, Black Basta, Alphv, BianLian, Everest y CACTUS.
Y Albors dice debilitamiento, porque afirma que Lockbit, en su opinión «no ha desaparecido del todo, sigue teniendo actividad y es probable que regrese con fuerza con otro nombre, tal y como ha pasado anteriormente con otros grupos de ransomware».
Para poner en contexto su caída, según los datos, Lockbit tenía una participación del 25% del mercado de ransomware
Por su parte el vicepresidente de Secureworks, una rama de Dell Technologies, Don Smith, ha advertido que Lockbit era la banda de cibercrimen con ransomware más prolífica y dominante en un mercado clandestino altamente competitivo. «Para poner en contexto su caída, según los datos, Lockbit tenía una participación del 25% del mercado de ransomware. Su rival más cercano era Blackcat con alrededor del 8,5%, y después de eso realmente comienza a fragmentarse» el mundillo de las bandas de hackers.
Según un informe elaborado por la empresa Acronis a mediados del pasado año, además de los ciberdelincuentes desmantelados, la banda Clop logró robar datos protegidos de más de 783,000 personas, mientras que la banda BlackCat accedió a información militar secreta, incluyendo donde había datos de empleados y clientes de un fabricante industrial indio, y Vice Society lanzó ataques a 1200 servidores, comprometiendo datos personales de 43,000 estudiantes, profesores y personal de la Universidad de Duisburg-Essen en Alemania.
