“Hemos hackeado a los hackers”, celebraba esta semana el responsable de la operación internacional liderada por el FBI y la Agencia contra el Crimen británica (NCA) que consiguió tumbar a “LockBit, el grupo cibercriminal más dañino del mundo”. Las fuerzas de seguridad habían utilizado su propia táctica contra ellos: encontraron una brecha de seguridad en sus sistemas, se colaron por ella, extrajeron todos los datos que pudieron y tumbaron su infraestructura digital.
La gran multinacional de los ciberataques de ransomaware, conocida por el alto grado de profesionalización de sus miembros y su estructura interna, parecía quedar así desarticulada. Su caída daba a su vez una ventana a las miles de víctimas de la organización en todo el mundo, ya que las fuerzas de seguridad consiguieron hacerse con un considerable número de códigos para descifrar los archivos secuestrados por los que los hackers esperaban cobrar un rescate.
“Hemos tomado el control de su infraestructura, confiscado su código fuente y obtenido claves que ayudarán a las víctimas a descifrar sus sistemas”, aseveraba el jefe de la operación internacional, en la que también participaron Francia, Japón, Suiza, Canadá, Australia, Suecia, Países Bajos, Finlandia y Alemania. “A día de hoy, LockBit está bloqueado”.
Sin embargo, apenas unas horas después el propio grupo de cibercrimen organizado ponía toda la operación en duda. Una serie de mensajes en su grupo oficial de Telegram avisaba que los daños a sus archivos habían sido mínimos y que volverían a la actividad muy pronto.
Los ciberdelincuentes han cumplido su amenaza en la madrugada de este domingo. Un nuevo portal oficial en la web oscura anuncia nuevas víctimas y las emplaza a negociar los rescates por sus archivos. Además, anuncian su apoyo a Donald Trump y aseguran que la operación del FBI contra ellos es una respuesta al robo de información confidencial sobre sus procesos legales.
“Los documentos robados contienen cosas interesantes sobre los casos judiciales de Donald Trump que podrían afectar las próximas elecciones en EEUU”, afirma LockBit. “La situación en la frontera con México es una pesadilla. Biden debería retirarse, es un títere. Si no fuera por el ataque del FBI, los documentos se habrían publicado el mismo día”, continúan en un extenso comunicado.
La organización también se burla de la operación contra ellos y reta a las fuerzas de seguridad a demostrar que su ataque fue realmente exitoso. “Afirman tener 1.000 códigos de descifrado, aunque había casi 20.000 descifradores en el servidor, la mayoría de los cuales estaban protegidos y no pueden ser utilizados por el FBI”, manifiestan.
Los expertos consultados por elDiario.es dan credibilidad al anuncio de la vuelta a la actividad del grupo. “Total y absoluta”, dice Rafael López, experto en ciberseguridad de la firma Perception Point. “Los enlaces están operativos al 100%, puedes navegar y ver todos los leaks [información robada] que han restaurado”.
“En el sector siempre se ha tomado con cautela esto y nos parecía que había sido 'demasiado fácil' desmontar a Lockbit”, continúa este especialista, que destaca que la operación contra ellos ha derivado en “su primer posicionamiento político”: “Dicen abiertamente que quieren que gane Trump”.
Daute Delgado, instructor de la escuela Ironhack y analista del centro de ciberseguridad de Naciones Unidas, confirma que el nivel de actividad que ha reanudado LockBit confirma que “han sobrevivido”. No obstante, avisa que no hay que fiarse de las palabras de los ciberdelincuentes, ya que “sí podría haberles debilitado”.
“Habrá que esperar a las próximas semanas para saber en qué quedan sus amenazas al FBI”, apunta sobre el grupo cibercriminal que se ha convertido en una amenaza internacional tras cuatro años de incesantes ataques de secuestro de archivos.