La Agencia Nacional contra el Crimen (NCA) del Reino Unido confirmó el martes que obtuvo el código fuente de LockBit, así como información de inteligencia relacionada con sus actividades y sus afiliados, como parte de un grupo de trabajo dedicado llamado Operación Cronos.
«Algunos de los datos en los sistemas de LockBit pertenecían a víctimas que habían pagado un rescate a los actores de la amenaza, lo que demuestra que incluso cuando se paga un rescate, no se garantiza que los datos serán eliminados, a pesar de lo que los delincuentes han prometido», dijo la agencia. dicho.
También anunció el arresto de dos actores de LockBit en Polonia y Ucrania. Se han congelado más de 200 cuentas de criptomonedas vinculadas al grupo. También se han revelado acusaciones en Estados Unidos contra otros dos ciudadanos rusos que presuntamente han llevado a cabo ataques LockBit.
Artur Sungatov e Ivan Gennadievich Kondratiev (también conocido como Bassterlord) han sido acusados de implementar LockBit contra numerosas víctimas en todo Estados Unidos, incluidas empresas de todo el país en la industria manufacturera y otras industrias, así como víctimas en todo el mundo en las industrias de semiconductores y otras industrias, según Estados Unidos. Departamento de Justicia (Departamento de Justicia).
Kondratyev también ha sido acusado de tres cargos penales derivados de su uso de la variante de ransomware Sodinokibi, también conocida como REvil, para cifrar datos, exfiltrar información de las víctimas y extorsionar el pago de un rescate a una víctima corporativa con sede en el condado de Alameda, California.
El desarrollo se produce a raíz de una campaña internacional de disrupción dirigida a LockBit, que la NCA describió como el «grupo de delitos cibernéticos más dañino del mundo».
Como parte de los esfuerzos de eliminación, la agencia dijo que tomó el control de los servicios de LockBit y se infiltró en toda su empresa criminal. Esto incluye el entorno de administración utilizado por los afiliados y el sitio de filtración público alojado en la web oscura.
Además, también se han desmantelado 34 servidores pertenecientes a filiales de LockBit y se han recuperado más de 1.000 claves de descifrado de los servidores de LockBit confiscados.
LockBit, desde su debut a finales de 2019, ejecuta un esquema de ransomware como servicio (RaaS) en el que los cifradores tienen licencia para los afiliados, quienes llevan a cabo los ataques a cambio de una parte de los ingresos del rescate.
Los ataques siguen una táctica llamada doble extorsión para robar datos confidenciales antes de cifrarlos, y los actores de amenazas presionan a las víctimas para que realicen un pago para descifrar sus archivos y evitar que sus datos se publiquen.
«El grupo de ransomware también es famoso por experimentar con nuevos métodos para presionar a sus víctimas para que paguen rescates», Europol dicho.
«La triple extorsión es uno de esos métodos que incluye los métodos tradicionales de cifrar los datos de la víctima y amenazar con filtrarlos, pero también incorpora ataques distribuidos de denegación de servicio (DDoS) como una capa adicional de presión».
El robo de datos se facilita mediante una herramienta de filtración de datos personalizada con nombre en código StealBit. Desde entonces, la infraestructura, que se utilizó para organizar y transferir datos de las víctimas, ha sido confiscada por autoridades de tres países, incluido Estados Unidos.
De acuerdo a Eurojust y el Departamento de Justicia, se cree que los ataques LockBit afectaron a más de 2.500 víctimas en todo el mundo y generaron más de 120 millones de dólares en ganancias ilícitas. También se ha puesto a disposición una herramienta de descifrado a través de No más rescate para recuperar archivos cifrados por el ransomware sin costo alguno.
«A través de nuestra estrecha colaboración, hemos pirateado a los piratas informáticos; hemos tomado el control de su infraestructura, nos hemos apoderado de su código fuente y hemos obtenido claves que ayudarán a las víctimas a descifrar sus sistemas», dijo el director general de la NCA, Graeme Biggar.
«A partir de hoy, LockBit está bloqueado. Hemos dañado la capacidad y, más notablemente, la credibilidad de un grupo que dependía del secreto y el anonimato. LockBit puede intentar reconstruir su empresa criminal. Sin embargo, sabemos quiénes son y cómo ellos operan.»