Operación Cronos: las fuerzas del orden toman las operaciones de ‘ransomware’ de LockBit
Los sitios web de LockBit mostraron un mensaje de adquisición por parte de las autoridades, provocando la divulgación completa de la operación.
Las autoridades policiales mundiales se han apoderado de varias operaciones de la famosa banda de ransomware LockBit, en una toma coordinada bajo el lema Operación Cronos.
Las autoridades se han apoderado de ocho dominios ".onion" propiedad del grupo de ransomware. De hecho, hasta el martes, mostraban un mensaje que decía: "El sitio ahora está bajo el control de las autoridades".
"Este sitio ahora está bajo el control de la Agencia Nacional contra el Crimen del Reino Unido, que trabaja en estrecha cooperación con el FBI y el grupo de trabajo internacional encargado de hacer cumplir la ley, Operación Cronos", decía el mensaje en los portales de la web oscura.
Además, la adquisición también bloqueó a los afiliados de LockBit que intentaban iniciar sesión en el panel de afiliados.
Las autoridades compartirán más detalles
Si bien las autoridades o cualquier otra entidad involucrada en la Operación Cronos no han publicado ninguna confirmación pública ni comunicado de prensa sobre la incautación, el mensaje que se muestra en los dominios insinúa una mayor revelación de los detalles de la operación.
“Podemos confirmar que los servicios de LockBit se han visto interrumpidos como resultado de la acción de las autoridades internacionales; esta es una operación en curso y en desarrollo. Regrese aquí para obtener más información a las 11:30 GMT del martes 20 de febrero”, agrega el mensaje.
Mientras tanto, se confiscan operaciones clave de la pandilla de ransomware, incluido el acceso al panel de afiliados de LockBit, un panel de control central para que los grupos afiliados de LockBit creen y modifiquen varias muestras de ransomware como servicio (RaaS) de LockBit, administren ataques y víctimas, ejecuten ataques.
"Las fuerzas del orden tomaron el control de la plataforma de LockBit y obtuvieron toda la información contenida allí", decía una alerta de bloqueo para los intentos de inicio de sesión realizados en el panel. “Esta información se relaciona con el grupo Lockbit y usted, su afiliado. Tenemos código fuente, detalles de las víctimas que has atacado, la cantidad de dinero extorsionado, los datos robados, chats y mucho, mucho más”.
LockBit se enfrenta al derribo después de una carrera popular
LockBit ransomware-as-a-service (RaaS) ganó prominencia rápidamente desde su lanzamiento en 2019, lo que lo convierte en el ransomware líder utilizado en 2022, solo superado por el grupo de ransomware Conti, respaldado por Rusia. El primer trimestre de 2022 registró un 15% de ataques de ransomware por parte de LockBit, mientras que Conti contribuyó con un 16%, según un informe de la empresa de respuesta a incidentes de ransomware Coveware.
La evolución más rápida de LockBit y sus afirmaciones de tener una ventaja sobre la competencia, combinadas con la desintegración de grupos más pequeños por parte de Conti, lo llevaron a volverse aún más formidable. Con el lanzamiento de lockBit 3.0 en la segunda mitad de 2022, el grupo llenó el vacío dejado por la desaparición de Conti y se convirtió en el ransomware más utilizado a finales del tercer trimestre de 2022.
El grupo vende acceso al malware, ransomware y la infraestructura asociada a grupos o ciberdelincuentes afiliados (terceros), cobrándoles una comisión del 25% sobre el dinero recibido como rescate por los ataques. Como la mayoría de las bandas RaaS, LockBit también emplea tácticas de doble extorsión, lo que permite a sus afiliados extraer datos de las organizaciones víctimas además del cifrado, para amenazas de filtración adicionales.
