La Agencia Nacional contra el Crimen (NCA, por sus siglas en inglés) del Reino Unido tomó el control de los servicios del grupo de ransomware LockBit, lo que comprometió a toda su organización criminal, después de infiltrarse en su red.
Las acciones fueron coordinadas por el grupo de trabajo Operación Cronos, encabezado por la NCA con estrecha colaboración del Buró Federal de Investigaciones (FBI) de Estados Unidos (EU) y el apoyo de socios internacionales de otros nueve países.
La agencia británica obtuvo el código fuente de la plataforma y una gran cantidad de inteligencia de sus sistemas sobre sus actividades, así como de quiénes trabajaron con ellos y utilizaron sus servicios para dañar a organizaciones en todo el mundo.
En un comunicado, la NCA informó que el sitio ahora albergará una serie de información que expondrá la capacidad y las operaciones de LockBit.
El director general de la NCA, Graeme Biggar, calificó la investigación como una interrupción innovadora del grupo de delitos cibernéticos más dañino del mundo. “A partir de hoy, LockBit está bloqueado. Hemos dañado la capacidad y, más notablemente, la credibilidad de un grupo que dependía del secreto y el anonimato”.
Biggar añadió que “esto demuestra que ninguna operación criminal, dondequiera que se ubique y por muy avanzada que sea, está fuera del alcance de la Agencia y de nuestros socios”.
Arrestos y criptocuentas congeladas
En una acción más amplia coordinada por Europol, dos actores de LockBit fueron arrestados el martes en Polonia y Ucrania. También se congelaron más de 200 cuentas de criptomonedas vinculadas al grupo.
El Departamento de Justicia informó que dos personas responsables de utilizar LockBit para llevar a cabo ataques de ransomware fueron acusadas penalmente, están bajo custodia y se enfrentarán a un juicio.
Estados Unidos también dio a conocer acusaciones contra otras dos personas, que son ciudadanos rusos, por conspirar para cometer ataques de LockBit.
Lockbit obtuvo millones de dólares
De acuerdo con el Departamento de Justicia (DOJ) de Estados Unidos, Lockbit es uno de los grupos de ransomware más activos del mundo con más de 2,000 víctimas, que realizó demandas por un total de cientos de millones de dólares (mdd) y recibió más de $120 mdd en pagos de rescate.
Según la NCA, LockBit ha estado en funcionamiento durante cuatro años y durante ese tiempo sus ataques se dirigieron a miles de víctimas en todo el mundo.
El grupo proporcionó ransomware como servicio a una red global de ciberdelincuentes o “afiliados”, proporcionándoles las herramientas y la infraestructura necesarias para llevar a cabo ciberataques.
El fiscal general de EU, Merrick B. Garland, dijo en un comunicado que “durante años, los afiliados de LockBit han implementado este tipo de ataques una y otra vez”.
Garland señaló que LockBit no es la primera variante de ransomware que el DOJ y sus socios internacionales han desmantelado. “No será el último”, advirtió.
Ayuda a las víctimas
La NCA dijo que, junto con sus socios, está en condiciones de ayudar a las víctimas de LockBit, pues obtuvo más de 1,000 claves de descifrado. Biggar dijo: “Hemos hackeado a los hackers. Obtuvimos claves que ayudarán a las víctimas a descifrar sus sistemas”
En los próximos días, adelantó la NCA, se pondrá en contacto con las víctimas del Reino Unido para ofrecerles apoyo y ayudarlas a recuperar datos cifrados. El FBI y la Europol apoyarán a las víctimas en otros lugares.
En México, el Aeropuerto Internacional de Querétaro fue una de las organizaciones afectadas por este grupo de ransomware.
De acuerdo con el fundador de la firma mexicana Seekurity, Hiram Camarillo, otras víctimas son los Servicios de Salud de Veracruz y Morelos, la Comisión Nacional de Seguros y Fianzas, Foxconn (Tijuana), Grupo Dina, Telepro, Ragasa y Grupo Martex.