Una operación policial internacional se ha hecho con el control de la web de la banda de ransomware más grande del mundo, LockBit.
La operación fue dirigida por la Agencia Nacional contra el Crimen de Gran Bretaña (NCA), la Oficina Federal de Investigaciones de Estados Unidos (FBI), Europol y una coalición de agencias policiales internacionales. Desde Europol han afirmado que han logrado “comprometer la plataforma principal de LockBit y otra infraestructura crítica que posibilitó su empresa criminal. Esto incluye la eliminación de 34 servidores en los Países Bajos, Alemania, Finlandia, Francia, Suiza, Australia, Estados Unidos y el Reino Unido”. Además, se han arrestado varias personas vinculadas a LockBit en Polonia y Ucrania y se han congelado más de 200 cuentas de criptomonedas vinculadas a la organización.
Los servicios de seguridad tomaron el control del sitio en la darkweb, donde Lockbit publicitó sus actividades y lo reemplazaron con los emblemas de las distintas agencias policiales y un mensaje que decía: “el sitio está bajo el control de la Agencia Nacional contra el Crimen del Reino Unido, trabajando en estrecha cooperación con el FBI y el grupo de trabajo internacional encargado de hacer cumplir la ley, ‘Operación Cronos'”.
LockBit es el nombre tanto de un ransomware como de la banda que lo usa. Está especializado en ataques de tipo ransomware, es decir, que bloquean el acceso a la información de un equipo infectado, o a parte de ella, para exigir un pago a cambio de su liberación. Sus métodos de extorsión evolucionaron hasta incorporar la amenaza de un ataque de denegación de servicio distribuido (DDos). Se considera uno de los ransomware más prolíferos. Los investigadores de la impresa de ciberseguridad Recorded Future le han atribuido 2.300 ataques. El director de la NCA, Graeme Biggar, dijo que consideraba que el grupo era responsable del 25% de los ataques de ransomware en el último año.
El grupo se descubrió en 2020 cuando se encontró su software malicioso del mismo nombre en foros de cibercrimen en ruso, lo que llevó a algunos analistas de seguridad a creer que la pandilla tiene su sede en Rusia. Sin embargo, la pandilla no ha manifestado su apoyo a ningún gobierno y ningún gobierno la ha atribuido formalmente a un Estado-nación. En su ahora desaparecido sitio darkweb, el grupo dijo que estaba “ubicado en los Países Bajos, completamente apolítico y solo interesado en el dinero”.
De acuerdo con el diario El Español, las agencias policiales violaron los servidores de LockBit utilizando un exploit PHP aprovechando una vulnerabilidad del sistema. Así, se han hecho con el control del equipo de LockBit, incluidos servidores con datos de víctimas, servidores para compartir archivos y servidores de comunicación. Eso ayudará a las autoridades a devolver los datos robados a las empresas y otras organizaciones pirateadas, además de aplicar sanciones contra los responsables.
Artículo escrito por:
Laura Ruiz Sancho. Periodista. Apasionada de la geopolítica y siempre con un ojo puesto en la actualidad internacional. Experta profesional en terrorismo yihadista por la UNED y Máster en Verificación Digital y Periodismo de datos (CEU).
