Actualizar: La Agencia Nacional contra el Crimen (NCA) del Reino Unido ha confirmado el desmantelamiento de la infraestructura LockBit. Lea aquí para más detalles.
Una operación internacional de aplicación de la ley condujo a la incautación de múltiples dominios de la red oscura operados por LockBit, uno de los grupos de ransomware más prolíficos, lo que representa el último de una larga lista de derribos digitales.
Si bien el alcance total del esfuerzo, cuyo nombre en código Operación Cronosactualmente desconocido, al visitar el sitio web .onion del grupo se muestra un cartel de incautación que contiene el mensaje «El sitio ahora está bajo el control de las autoridades».
En el ejercicio conjunto participaron autoridades de 11 países: Australia, Canadá, Finlandia, Francia, Alemania, Japón, Países Bajos, Suecia, Suiza, Reino Unido y Estados Unidos, junto con Europol.
El grupo de investigación de malware VX-Underground, en un mensaje publicado en X (anteriormente Twitter), dijo que los sitios web fueron eliminados explotando una falla de seguridad crítica que afecta a PHP (CVE-2023-3824puntuación CVSS: 9,8) que podría dar lugar a la ejecución remota de código.
Los organismos encargados de hacer cumplir la ley también izquierda en una nota en el panel de afiliados, indicando que están en posesión del «código fuente, detalles de las víctimas que ha atacado, la cantidad de dinero extorsionado, los datos robados, chats y mucho, mucho más», añadiendo que se hizo posible debido a la «infraestructura defectuosa» de LockBit.
LockBit, que surgió el 3 de septiembre de 2019, ha sido una de las bandas de ransomware más activas y notorias de la historia, y se ha cobrado más de 2000 víctimas hasta la fecha. Se estima que ha extorsionado al menos 91 millones de dólares sólo a organizaciones estadounidenses.
Según datos compartidos por la empresa de ciberseguridad ReliaQuest, LockBit enumeró 275 víctimas en su portal de fuga de datos en el cuarto trimestre de 2023, eclipsando a todos sus competidores.
Aún no hay noticias sobre arrestos o sanciones, pero el desarrollo es un golpe definitivo para las operaciones a corto plazo de LockBit y llega dos meses después de que el gobierno de EE. UU. desmantelara la operación de ransomware BlackCat.
El derribo coordinado coincide también con la detención de un Ciudadano ucraniano de 31 años. por obtener acceso no autorizado a Google y a cuentas bancarias en línea de usuarios estadounidenses y canadienses mediante la implementación de malware y la venta de acceso a otros actores de amenazas en la web oscura para obtener ganancias financieras.