Una coalición internacional de organismos encargados de hacer cumplir la ley en 11 países anunció el martes que había tomado el control de las computadoras y el software en el corazón del grupo de ransomware más prolífico del mundo, dando a las víctimas la esperanza de que no se verán obligadas a pagar rescates para recuperar los datos robados. de sus sistemas informáticos. La infraestructura confiscada a la banda de ransomware LockBit incluía cientos de claves electrónicas necesarias para recuperar los datos robados, así como el sitio en la web oscura donde LockBit filtró datos de las víctimas que se negaron a pagar rescates en criptomonedas, dijeron los funcionarios. El esfuerzo de aplicación de la ley, denominado Operación Cronos, fue dirigido por la Agencia Nacional contra el Crimen del Reino Unido e incluyó al FBI y otras agencias de aplicación de la ley. Luego, la coalición utilizó el sitio del grupo para imitar su operación anterior y comenzó a filtrar información sobre LockBit, publicando un cronómetro de cuenta regresiva para los archivos que aún estaban por llegar, incluido uno que provocaba información próxima sobre el líder anónimo de la pandilla. “Es algo hermoso. La NCA y el FBI están controlando agresivamente LockBit”, dijo Don Smith, vicepresidente de Secureworks, cuyo análisis del grupo volvió a publicarse por las autoridades en el sitio de los piratas informáticos. Los delincuentes que piratean las redes internas de las organizaciones objetivo utilizan ransomware para cifrar los datos allí y dejarlos inutilizables. Exigen dinero por la clave de descifrado y, a veces, por no publicar los datos que han robado. Según el Departamento de Justicia, el malware LockBit se ha utilizado para extorsionar más de 120 millones de dólares en pagos de rescate a más de 2.000 víctimas. La primera señal de la adquisición apareció el lunes por la noche, cuando apareció un aviso en el sitio de LockBit que decía: “Este sitio es ahora bajo el control de la Agencia Nacional contra el Crimen del Reino Unido, que trabaja en estrecha cooperación con el FBI y el grupo de trabajo internacional de aplicación de la ley, ‘Operación Cronos’”. Funcionarios del Reino Unido y Estados Unidos dijeron que obtuvieron el control de 200 cuentas financieras que contenían una cantidad no revelada. de criptomonedas, el código fuente de programación utilizado para cifrar datos y sacarlos de las redes corporativas, y registros de chats electrónicos con los afiliados de LockBit que llevaron a cabo el pirateo real. Un participante acusado fue arrestado en Ucrania y otro en Polonia, ambos ahora bajo custodia estadounidense, mientras que se abrió una acusación contra otros dos que se presume están dentro de Rusia. El malware LockBit ha sido responsable de aproximadamente una cuarta parte de todos los ataques de ransomware en el últimos dos años, estimó Secureworks. Se cree ampliamente que LockBit se opera desde Rusia, aunque sus vínculos con el gobierno ruso, si los hay, son inciertos. En 2022, fue la pieza de ransomware más implementada en el mundo, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. LockBit publicó datos robados del gigante aeroespacial Boeing y trastornó los mercados financieros con un ataque a la división de servicios financieros de un importante banco chino, ICBC. La herramienta también se utilizó para paralizar el servicio de correo británico el año pasado, interrumpiendo las exportaciones internacionales de paquetes durante una semana. Ha afectado a numerosas ciudades, sistemas escolares y condados de EE. UU., incluido recientemente el condado de Fulton en Georgia, donde el expresidente Donald Trump enfrenta cargos relacionados con sus supuestos esfuerzos para anular las elecciones de 2020. Los funcionarios del condado de Fulton dijeron el miércoles que algunos de sus servicios, incluida la tecnología utilizada en su sistema de justicia, permaneció interrumpido más de dos semanas después del ataque, lo que requirió que ciertas reuniones se llevaran a cabo en persona en lugar de por teléfono u otras plataformas de comunicación. El director general de la NCA, Graeme Biggar, calificó a LockBit como el “grupo de delitos cibernéticos más dañino” del mundo. . “A través de nuestra estrecha colaboración, hemos pirateado a los piratas informáticos; tomó el control de su infraestructura, se apoderó de su código fuente y obtuvo claves que ayudarán a las víctimas a descifrar sus sistemas. A partir de hoy, LockBit está bloqueado”, dijo en un comunicado. Los funcionarios no revelaron cómo lograron apoderarse del sitio de LockBit, pero una persona cercana a la operación dijo que pudo haber tomado hasta un año. Dado que los grupos de ransomware atacan infraestructuras críticas y extorsionan hasta mil millones de dólares al año, muchos de ellos actuando desde dentro de las fronteras de Rusia, los derribos a través de tecnología se han convertido en una prioridad máxima, y ​​en ocasiones reciben asistencia de agencias militares y de inteligencia, así como de las fuerzas del orden. Los arrestos han roto algunas redes criminales o las han mellado. Pero debido a que algunos de los principales grupos operan de manera descentralizada, esencialmente ofreciendo sus servicios en alquiler a ciberdelincuentes que buscan penetrar en una organización, otros grupos de ransomware pudieron ofrecer servicios similares. En este caso, los investigadores amenazan a los propios piratas informáticos, conocidos como afiliados, advirtiéndoles en el sitio incautado que pueden estar en contacto e invitándolos a presentarse primero. LockBit se convirtió en la principal operación de ransomware al brindarles a sus afiliados, que mantienen aproximadamente El 80 por ciento de los rescates, una libertad inusual para negociar con sus objetivos y publicar ellos mismos los datos robados. Otras bandas de ransomware se encargan de esas tareas en nombre de los piratas informáticos. Esa colaboración más profunda entre LockBit y los afiliados puede haber ayudado a los investigadores a penetrar la red. La coalición dijo que también había obtenido el control de 28 servidores pertenecientes a afiliados. La NCA revela detalles de una campaña de disrupción internacional dirigida al grupo de delitos cibernéticos más dañino del mundo, Lockbit. Mire nuestro video y siga leyendo para obtener más información sobre Lockbit y por qué es así. un gran paso en nuestra lucha colectiva contra el ciberdelito. pic.twitter.com/m00VFWkR9Z— Agencia Nacional contra el Crimen (NCA) (@NCA_UK) 20 de febrero de 2024 “LockBit es una de las amenazas de ransomware más importantes y muchos dirían que es el grupo más prolífico en la actualidad”, Jason Nurse, dijo en un correo electrónico un experto en ciberseguridad de la Universidad de Kent en Inglaterra. «Estos grupos están bien financiados, operan como una empresa y son extremadamente cuidadosos en su enfoque», agregó. ¿Se equivocó una banda de ransomware al atacar una rama estadounidense del banco más grande de China? En 2022, LockBit se disculpó después de decir su ransomware se utilizó para atacar un hospital infantil. Ofreció al hospital un código para desbloquear sus sistemas y, según se informa, emitió una guía de políticas que prohibía a los delincuentes usar su software en ataques «donde el daño a los archivos podría provocar la muerte». Pero el modelo de afiliado flexible significa que cada pocos meses, alguien instala LockBit en un objetivo sensible de todos modos, dijeron los investigadores. Un desastre real en el Reino Unido apunta a los riesgos de ciberataques en la entrega de correo. Las agencias policiales británicas han advertido previamente contra centrarse demasiado en abordar variantes individuales de ransomware. Interrumpir variantes individuales de ransomware «es similar a tratar los síntomas de una enfermedad y tiene un uso limitado a menos que se aborde la enfermedad subyacente», dijo la NCA. Pero los funcionarios del Reino Unido y EE. UU. esperan que LockBit y sus afiliados disuelvan sus operaciones, al menos temporalmente, por temor a que las autoridades puedan identificarlos y arrestar al menos a aquellos afiliados que se encuentran fuera de Rusia y China.

Source link