El FBI está instando a las víctimas de uno de los grupos de ransomware más prolíficos a que denuncien después de que los agentes recuperaron miles de claves de descifrado que pueden permitir la recuperación de datos que han permanecido inaccesibles durante meses o años. La revelación, hecha el miércoles por un alto funcionario del FBI, se produce tres meses después de que una lista internacional de agencias policiales confiscara servidores y otra infraestructura utilizada por LockBit, un sindicato de ransomware que, según las autoridades, ha extorsionado con más de mil millones de dólares a 7.000 víctimas en todo el mundo. Las autoridades dijeron en ese momento que tomaron el control de 1.000 claves de descifrado, 4.000 cuentas y 34 servidores y congelaron 200 cuentas de criptomonedas asociadas con la operación. En un discurso ante una conferencia de ciberseguridad en Boston, el subdirector cibernético del FBI, Bryan Vorndran, dijo el miércoles que los agentes también recuperaron un activo que será de gran interés para miles de víctimas de LockBit: las claves de descifrado que podrían permitirles desbloquear los datos que se han retenido. para pedir un rescate por parte de los asociados de LockBit. «Además, debido a nuestra interrupción continua de LockBit, ahora tenemos más de 7.000 claves de descifrado y podemos ayudar a las víctimas a recuperar sus datos y volver a conectarse», dijo Vorndran después de señalar otros logros resultantes de la incautación. «Nos estamos comunicando con víctimas conocidas de LockBit y alentamos a cualquiera que sospeche que fue una víctima a visitar nuestro Centro de denuncias de delitos en Internet en ic3.gov». La cantidad de claves de descifrado que ahora están en posesión de las fuerzas del orden es significativamente mayor que las 1.000 claves que las autoridades dijeron que habían obtenido el día en que se anunció la eliminación. Anuncio El subdirector advirtió que recuperar claves de descifrado comprándolas a los operadores resuelve sólo uno de dos problemas para las víctimas. Como la mayoría de los grupos de ransomware, LockBit sigue un modelo de doble extorsión, que exige una recompensa no sólo por la clave de descifrado sino también por la promesa de no vender datos confidenciales a terceros ni publicarlos en Internet. Si bien la devolución de las claves puede permitir a las víctimas recuperar sus datos, no impide que LockBit venda o difunda los datos. “Cuando las empresas son extorsionadas y deciden pagar para evitar la filtración de datos, están pagando para evitar la divulgación de datos ahora mismo, no en el futuro”, afirmó Vorndran. «Incluso si los delincuentes te devuelven los datos, debes asumir que algún día pueden ser divulgados, o que algún día te pueden extorsionar nuevamente por los mismos datos». Es lógico que las víctimas que obtienen una de las 7.000 claves recuperadas por las autoridades se enfrenten a la misma amenaza de que sus datos sean divulgados a menos que paguen. La lucha contra el ransomware está marcada por victorias igualmente limitadas, y los esfuerzos por frenar las actividades de LockBit no son diferentes. Las autoridades arrestaron a un asociado de LockBit llamado Mikhail Vasiliev en 2022 y le impusieron una sentencia de prisión de cuatro años en marzo. El mes pasado, las autoridades nombraron al sombrío capo de LockBit como Yuryevich Khoroshev, ciudadano ruso de 31 años. A pesar de esas acciones y de la incautación de la infraestructura clave de LockBit en febrero, el malware basado en LockBit ha seguido propagándose. Los investigadores también han observado nuevos ataques de LockBit y el lanzamiento de nuevos cifrados por parte del grupo. Desde la operación policial, los asociados de LockBit también han publicado tramos de datos robados a las víctimas antes y después. El Departamento de Estado de Estados Unidos ofrece 10 millones de dólares por información que conduzca al arresto o condena de los líderes de LockBit y 5 millones de dólares para los afiliados del grupo.