LockBit, el grupo de hackers más activo y peligroso del mundo, que opera como una auténtica multinacional de los ciberataques, niega haber sido desarticulado en una gran operación internacional liderada por el FBI y la Agencia Nacional contra el Crimen británica (NCA, por sus siglas en inglés). “Hemos aprendido de los errores de otros. En el pasado, las personas podían ser identificadas y detenidas, y a través de una persona se podían revelar todos los detalles de la organización, pero ese ya no es el caso. ¡Somos un imperio!”, han manifestado.
“Nuestros miembros están separados entre sí y se encuentran en todos los países del mundo (ingenieros, carpinteros, herreros, médicos, jueces). Tenemos diferentes clases y edades. No hay conexión entre uno y otro. ¡No solo utilizamos computadoras! Utilizamos de todo y todo tipo de capacidades”, continuaban este miércoles en su canal oficial de Telegram, asegurando tener “agentes secretos en todo el mundo” y haciendo una invitación formal para nuevos miembros. “Parece que el mundo se ha dado cuenta del peligro demasiado tarde”.
El comentario es una reacción al comunicado oficial de la NCA publicado durante la tarde de este martes. Las autoridades británicas afirmaron haber desmantelado a “LockBit, el grupo de ciberdelincuencia más dañino del mundo”, tomando el control de sus servidores y “comprometiendo toda su empresa delictiva”. Se han producido también dos detenciones de ciudadanos rusos en Ucrania y Polonia, así como la congelación de más de 200 cuentas de criptomonedas vinculadas a sus actividades.
Pese a las proclamas de la gran multinacional de los ciberataques, su página web oficial de la red oscura permanece bajo el control de las autoridades, según ha podido comprobar elDiario.es. Al acceder a ella a través de la red Tor se muestra un mensaje que informa de la desarticulación de la banda en la Operación Cronos y los países intervinientes (Reino Unido, EEUU, Francia, Japón, Suiza, Canadá, Australia, Suecia, Países Bajos, Finlandia y Alemania).
Tras ese aviso se muestra una recreación del antiguo blog que LockBit utilizaba para difundir sus ciberataques, coaccionar a las víctimas y revelar sus datos confidenciales cuando se negaban a pagar un rescate con ellos. La información que se muestra ahora, en cambio, es sobre la desarticulación del grupo, las claves de desencriptado de la información o una cuenta atrás para el cierre completo de la página.
Como explica la NCA y detalló elDiario.es en un reportaje sobre su ciberataque al Ayuntamiento de Sevilla, LockBit ha sido el grupo de ciberdelincuentes especializado en ransomware (secuestro de archivos informáticos) más activo y peligroso de los últimos cuatro años. Además del consistorio hispalense, en España se le conocen objetivos como el importante despacho de abogados Sagardoy o Euskaltel. El Centro Criptológico Nacional avisó en noviembre de que España era el objetivo de aproximadamente un 20% de las ofensivas de la banda.
“Los ataques de ransomware de LockBit se dirigieron a miles de víctimas en todo el mundo –abunda la NCA– y causaron pérdidas de miles de millones de libras, dólares y euros, tanto en el pago de rescates como en los costes de recuperación. El grupo proporcionaba ransomware como servicio a una red mundial de piratas informáticos o 'afiliados', suministrándoles las herramientas y la infraestructura necesarias para llevar a cabo los ataques”.
“Cuando la red de una víctima era infectada por el software malicioso de LockBit, sus datos eran robados y sus sistemas, encriptados. Se pedía un rescate en criptomoneda para que la víctima descifrara sus archivos e impidiera la publicación de sus datos”, continúa la agencia británica.
Esta organización en departamentos, profesionalismo y distribución internacional es lo que hace que grupos como LockBit funcionen como auténticas multinacionales de los ciberataques. En su caso se cree que su cuartel general se encontraba en los Países Bajos, pero esto no ha sido confirmado por las autoridades. Desde él se coordinaba a sus especialistas en desarrollo, que perfeccionaban sus programas de ataque e infección. También los informes de su equipo de inteligencia, que analizaba a sus potenciales objetivos en busca de sus puntos débiles, estudiaba cuánto podrían pagar e incluso sobornaba o extorsionaba a sus empleados para que les abrieran las puertas. También contaban con un departamento de “atención al infectado”, que negociaba con ellos las condiciones del pago.
El desmantelamiento de esta infraestructura se considera la acción clave contra la organización, incluso más que las detenciones o el control de su web. “La Agencia también ha obtenido el código fuente de la plataforma LockBit y una gran cantidad de inteligencia de sus sistemas sobre sus actividades y aquellos que han trabajado con ellos y utilizado sus servicios para dañar a organizaciones en todo el mundo”, explica la NCA.
“Bravata”
Varios especialistas en ciberseguridad han afirmado en conversación con elDiario.es que el desmentido de LockBit podría tratarse solo de una “bravata” pero que habrá que esperar a ver qué sucede en los próximos días. “Muchos de sus miembros podrían preferir esperar a que pase la tormenta y volver dentro de unos meses con otro nombre”, adelanta uno de ellos, pidiendo permanecer en el anonimato.
También es frecuente que los miembros de los grupos desarticulados se lleven su conocimiento a otras bandas, ya que, como ha ocurrido en este caso, en las operaciones contra el cibercrimen organizado se suelen producir pocas detenciones.
A día de hoy, LockBit está bloqueado. Hemos dañado la capacidad y, sobre todo, la credibilidad de un grupo que dependía del secreto y el anonimato
Por ello, otros expertos creen que es pronto para dar carpetazo al nivel de intensidad de las actividades del grupo, puesto que no se le ha erradicado por completo. “Por ejemplo, la interrupción en agosto de 2023 de la red de bots Qbot no detuvo las actividades de uno de los distribuidores más destacados de este malware, ya que cambiaron a otra para continuar con sus actividades”, explica Selena Larson, especialista en ciberinteligencia de la firma de seguridad Proofpoint.
“Lo más importante para las víctimas actuales de LockBit es que se han encontrado y publicado las claves de descifrado, que permitirán recuperar los datos cifrados por este grupo”, continúa Larson: “Además, la congelación de más de 200 cuentas de criptomonedas vinculadas a las actividades de LockBit restringirá la capacidad de los delincuentes para acceder a su dinero, lo que dificultará aún más sus operaciones”.
Graeme Biggar, director de la NCA, también ha reconocido la posibilidad de que regresen. “Hemos hackeado a los hackers; tomado el control de su infraestructura, confiscado su código fuente y obtenido claves que ayudarán a las víctimas a descifrar sus sistemas”, ha defendido, aseverando que “a día de hoy, LockBit está bloqueado. Hemos dañado la capacidad y, sobre todo, la credibilidad de un grupo que dependía del secreto y el anonimato”.