La operación LockBit ransomware-as-a-service (RaaS) ha relanzado su sitio de filtración, apenas una semana después una operación de derribo coordinada de la aplicación de la ley global.

El 19 de febrero, el “Grupo de Trabajo Operación Cronos” –que incluye al FBI, Europol y la Agencia Nacional contra el Crimen (NCA) del Reino Unido, entre otras agencias– llevó a cabo una acción masiva. Según la Agencia Nacional contra el Crimen de Gran Bretaña (NCA), el grupo de trabajo derribó la infraestructura distribuida en tres países, incluidas docenas de servidores. Confiscó códigos y otra información valiosa, grandes cantidades de datos robados a sus víctimas y más de 1,000 claves de descifrado asociadas. Destrozó el sitio de filtración del grupo y su portal afiliado, congeló más de 200 cuentas de criptomonedas, arrestó a un ciudadano polaco y ucraniano y acusó a dos ciudadanos rusos.

Un portavoz de la NCA lo resumió el 26 de febrero, diciendo a Reuters que el grupo "sigue completamente comprometido".

La persona añadió, sin embargo, que “nuestro trabajo para atacarlos y perturbarlos continúa”.

De hecho, es posible que la Operación Cronos no haya sido tan completa como parecía al principio. Aunque las fuerzas del orden pudieron dañar la infraestructura principal de LockBit, su líder admitió en una carta, sus sistemas de respaldo permanecieron intactos, lo que permitió que la operación se recuperara rápidamente.

El mensaje dejado en el portal de afiliados de LockBit; Fuente: vx-underground vía X (anteriormente Twitter)

"Al final del día, es un golpe significativo por parte de las fuerzas del orden en su contra", dice el ex agente especial del FBI Michael McPherson, ahora vicepresidente senior de operaciones técnicas de ReliaQuest. "No creo que nadie sea tan ingenuo como para decir que es el clavo en el ataúd para este grupo, pero esto es un golpe al cuerpo".

El lado de la historia de LockBit

Sería aconsejable saludar al líder de LockBit con escepticismo. “Como muchos de estos tipos en el espacio del ransomware, tiene bastante ego, es un poco volátil. Y se sabe que cuenta algunas historias bastante fantásticas cuando conviene a su objetivo”, dice Kurtis Minder, negociador de ransomware, cofundador y director ejecutivo de GroupSense.

En su carta, sin embargo, la persona o personas a las que Minder se refiere como “Alex” adopta un tono notablemente humilde.

"Debido a mi negligencia personal e irresponsabilidad, me relajé y no actualicé PHP a tiempo", escribió el líder del ransomware, citando el error crítico de PHP con calificación CVSS de 9.8 sobre 10. CVE-2023-3824 “como resultado de lo cual se obtuvo acceso a los dos servidores principales donde estaba instalada esta versión de PHP. Me doy cuenta de que puede que no haya sido este CVE, sino algo más como 0day para PHP, pero no puedo estar 100% seguro”.

Fundamentalmente, añadió, "todos los demás servidores con blogs de respaldo que no tenían PHP instalado no se ven afectados y seguirán proporcionando datos robados de las empresas atacadas". De hecho, gracias a esta redundancia, el sitio de filtración de LockBit volvió a funcionar después de una semana, con una docena de víctimas: una plataforma de préstamos, una red nacional de laboratorios de odontología y, más notablemente, el condado de Fulton, Georgia, donde está el expresidente Trump. actualmente involucrado en una batalla legal.

Fuente: Bitdefender

¿Tienen algún impacto las medidas policiales?

Desde hace años, las fuerzas del orden de EE. UU. y la UE han aparecido en los titulares con redadas de alto perfil en importantes operaciones de ransomware: Colmena, AlphV/Gato Negro, Taquilla Ragnar, etcétera. Que a pesar de estos esfuerzos el ransomware sigue aumentando puede inspirar apatía en algunos.

Pero después de tales redadas, explica McPherson, “O estos grupos no se han reconstituido o se recuperaron en menor medida. Por ejemplo, Hive aún no ha podido regresar; había interés en ello, pero en realidad no se materializó”.

Incluso si las fuerzas del orden no eliminaron totalmente LockBit, es probable que haya causado un gran daño a los piratas informáticos. Por ejemplo, señala Minder, “aparentemente tuvieron acceso a parte de la información de los afiliados”, lo que otorga a las autoridades una influencia significativa.

"Si soy un afiliado o soy otro desarrollador de ransomware, podría pensar dos veces antes de interactuar con estas personas en caso de que hayan se convirtió en informante del FBI. Entonces está creando cierta desconfianza. Y luego, por otro lado, creo que están haciendo lo mismo con LockBit al decir: 'Oye, en realidad sabemos quiénes son todos los afiliados, tenemos toda su información de contacto'. Así que ahora LockBit sospechará de sus propios afiliados. Es un poco de caos. Es interesante."

Sin embargo, para resolver realmente el ransomware a largo plazo, es posible que los gobiernos necesiten complementar las eliminaciones llamativas con políticas y programas efectivos.

“Tiene que haber un programa equilibrado, tal vez a nivel del gobierno federal, que realmente ayude con la prevención, la respuesta y la reparación. Creo que si viéramos cuánto capital realmente sale de la economía estadounidense como resultado de este tipo de actividades, veríamos que tendría sentido subsidiar un programa como ese, que evitaría que la gente tuviera que pagar rescates”. él dice.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/threat-intelligence/lockbit-leak-site-reemerges-week-after-complete-compromise-