El Departamento de Estado de Estados Unidos ha anunciado una recompensa de hasta $15 millones de dólares por información que pueda llevar a la identificación de los lÃderes clave dentro del grupo de ransomware LockBit y al arresto de cualquier individuo que participe en sus operaciones. Esta medida se ha tomado debido a las numerosas actividades delictivas llevadas a cabo por este grupo, como ataques a vÃctimas en Estados Unidos y en todo el mundo, causando interrupciones costosas en las operaciones comerciales y la destrucción o extracción de información sensible.
Desde enero de 2020, los actores de LockBit han ejecutado más de 2,000 ataques contra vÃctimas en Estados Unidos y alrededor del mundo. Estos ataques han resultado en pagos de rescate que superan los $144 millones de dólares para recuperar la información secuestrada por el ransomware de LockBit. Esta recompensa es parte de una operación de aplicación de la ley liderada por la Agencia Nacional del Crimen del Reino Unido (NCA), que ha logrado desmantelar las operaciones del grupo de ransomware LockBit, que ha estado activo durante más de cuatro años y ha causado estragos en empresas y entidades de infraestructura crÃtica en todo el mundo.
Operación cibercriminal de LockBit
El modelo de operación de LockBit y otros grupos de ransomware como servicio (RaaS) se basa en extorsionar a las empresas robando sus datos sensibles y cifrándolos. Esto ha demostrado ser un modelo de negocio lucrativo para los grupos de cibercriminales rusos, que actúan con impunidad al aprovechar el hecho de que se encuentran fuera de la jurisdicción de las fuerzas del orden occidentales. Los desarrolladores principales de LockBit suelen reclutar a una red de afiliados para llevar a cabo los ataques utilizando el software y la infraestructura maliciosa de LockBit. Estos afiliados, a su vez, compran acceso a los objetivos de interés utilizando intermediarios de acceso inicial (IABs) para facilitar los ataques."LockBit se ha convertido en el grupo de ransomware más prolÃfico desde la partida de Conti a mediados de 2022", dijo Chester Wisniewski, CTO de campo global de Sophos. "La frecuencia de sus ataques, combinada con la falta de lÃmites en el tipo de infraestructura a la que atacan, también los ha convertido en los más destructivos en los últimos años. Cualquier cosa que interrumpa sus operaciones y siembre desconfianza entre sus afiliados y proveedores es una gran victoria para las fuerzas del orden".
Una peculiaridad de LockBit es que fue el primer grupo de ransomware en anunciar un programa de recompensas por errores de seguridad en 2022, ofreciendo hasta $1 millón de dólares por encontrar problemas en sus sitios web y software. Además, LockBit ha utilizado diversas estrategias para atraer a más afiliados, como ofrecer un porcentaje de los pagos recibidos como rescates.
LockBit ya ha recibido algunos golpes
La operación que llevó al desmantelamiento de LockBit se inició en abril de 2022 y ha llevado al arresto de tres afiliados en Polonia y Ucrania, la acusación en Estados Unidos de otros dos presuntos miembros y el decomiso de 34 servidores y 1,000 claves de desencriptación que pueden ayudar a las vÃctimas a recuperar sus datos sin realizar ningún pago. Se estima que LockBit ha empleado a unos 194 afiliados entre el 31 de enero de 2022 y el 5 de febrero de 2024, y estos actores utilizaban una herramienta de exfiltración de datos personalizada conocida como StealBit. "StealBit es un ejemplo del intento de LockBit de ofrecer un servicio completo a sus afiliados", dijo la NCA, añadiendo que el ejecutable se utiliza para exportar los datos a través de la infraestructura del afiliado antes de utilizar StealBit, probablemente como un esfuerzo para evadir la detección.
Sin embargo, la estructura fluida de estos grupos de RaaS significa que desmantelarlos no siempre impacta de manera decisiva en la empresa criminal, permitiéndoles reagruparse y resurgir bajo un nombre diferente. Si la historia reciente nos sirve de indicativo, no pasará mucho tiempo antes de que cambien de marca y continúen donde lo dejaron. "Aunque no siempre obtenemos una victoria completa, como ha sucedido con QakBot, imponer la interrupción, aumentar su temor a ser capturados y aumentar la fricción para operar su sindicato criminal sigue siendo una victoria", añadió Wisniewski. "Debemos continuar uniendo fuerzas para aumentar cada vez más sus costos hasta que podamos ponerlos a todos donde pertenecen: tras las rejas".
Este anuncio del Departamento de Estado de Estados Unidos demuestra el compromiso de las autoridades en la lucha contra el ransomware y la protección de las empresas y los ciudadanos de este tipo de ataques cibernéticos. La recompensa de $15 millones de dólares es una medida poderosa para incentivar a las personas a proporcionar información. LockBit ha sido uno de los grupos de ransomware más prolÃficos y destructivos en los últimos años, y su desmantelamiento es un gran logro para las fuerzas del orden. Esta recompensa es una poderosa herramienta para incentivar la colaboración de la comunidad para identificar y capturar a los responsables de estos delitos y garantizar la seguridad de las empresas y los ciudadanos.