A pesar de todo su alardeado éxito, la operación de ransomware LockBit parece haber sido acosada por problemas cuando un esfuerzo internacional de aplicación de la ley liderado por la Agencia Nacional contra el Crimen (NCA) del Reino Unido apágalo esta semana.

Los informes de los proveedores de seguridad que surgieron después de la eliminación muestran una imagen de un grupo de ransomware como servicio (RaaS), que alguna vez fue innovador y agresivo, que recientemente luchó contra la disidencia entre miembros y afiliados, y la percepción de que era un soplón por parte de algunos dentro del grupo criminal. comunidad.

¿Daño irreparable?

Muchos perciben que la operación policial probablemente haya causado un daño irreparable a la capacidad del grupo criminal para continuar con las actividades de ransomware, al menos en su forma actual y bajo la marca LockBit. Aunque es probable que las docenas de afiliados independientes que distribuyeron e implementaron LockBit en los sistemas de las víctimas continúen operando utilizando otros proveedores de RaaS, su capacidad de continuar con LockBit parece inviable por el momento.

"Probablemente sea demasiado pronto para decirlo", dice Jon Clay, vicepresidente de inteligencia de amenazas de Trend Micro, que colaboró ​​con la NCA para analizar una nueva versión de desarrollo de LockBit y publicar indicadores de compromiso para ella. "Pero debido a la exposición y toda la información compartida, como las herramientas de descifrado [de LockBit], las cuentas de criptomonedas incautadas y el desmantelamiento de la infraestructura, el grupo y sus afiliados probablemente no puedan operar de manera efectiva".

La división cibernética de la NCA en colaboración con el FBI, el Departamento de Justicia de EE. UU. y agencias de aplicación de la ley de otros países a principios de esta semana. reveló que habían perturbado gravemente La infraestructura y las operaciones de LockBit bajo los auspicios de un esfuerzo de meses denominado "Operación Cronos".

El esfuerzo internacional dio como resultado que las fuerzas del orden tomaran el control de los servidores administrativos principales de LockBit que permitían a los afiliados llevar a cabo ataques; el principal sitio de fuga del grupo; El código fuente de LockBit; e información valiosa sobre los afiliados y sus víctimas. Durante un período de 12 horas, los miembros del grupo de trabajo Operación Cronos confiscaron 28 servidores en tres países que los afiliados de LockBit utilizaron en sus ataques. También derribaron tres servidores que albergaban una herramienta personalizada de exfiltración de datos LockBit llamada StealBit; recuperó más de 1,000 claves de descifrado que podrían ayudar a las víctimas a recuperar datos cifrados con LockBit; y congeló unas 200 cuentas de criptomonedas conectadas a LockBit.

La ruptura inicial parece haber sido el resultado de una falla de seguridad operacional por parte de LockBit: una vulnerabilidad de PHP sin parches (CVE-2023-3824) que permitió a las fuerzas del orden afianzarse en el entorno de LockBit.

Recompensa de $ 15 millón

El mismo día, el Departamento de Justicia de EE.UU. también abrió una acusación que acusó a dos ciudadanos rusos, Ivan Kondratyev, también conocido como Bassterlord, uno de los afiliados más destacados de LockBit, y Artur Sungatov, por ataques de ransomware a víctimas en todo Estados Unidos. El departamento también reveló que actualmente tiene bajo custodia a otras dos personas, Mikhail Vasiliev y Ruslan Astamirov, por cargos relacionados con su participación en LockBit. Con la nueva acusación, el gobierno de Estados Unidos dice que hasta ahora ha acusado a cinco miembros destacados de LockBit por su papel en la operación del sindicato del crimen.

El 21 de febrero, el Departamento de Estado de EE.UU. aumentó la presión contra los miembros de LockBit al anunciando recompensas por un total de 15 millones de dólares para obtener información que conduzca al arresto y condena de miembros y líderes clave del grupo. El Departamento del Tesoro se unió a la refriega al imponer sanciones sobre Kondratyev y Sungatov, lo que significa que cualquier pago futuro que las víctimas estadounidenses de LockBit realicen a LockBit sería estrictamente ilegal.

Al ejecutar la eliminación, las fuerzas del orden dejaron mensajes algo burlones para los afiliados y otras personas relacionadas con LockBit en los sitios que habían incautado durante la operación. Algunos expertos en seguridad vieron el trolling como un intento deliberado de la Operación Cronos de socavar la confianza de otros actores del ransomware.

Una de las razones es "enviar un mensaje de advertencia a otros operadores de que LEA puede atacar a su grupo y lo hará para acciones similares", dice Yelisey Bohuslavskiy, directora de investigación de la firma de inteligencia de amenazas RedSense. "Es probable que muchos grupos estén evaluando actualmente su seguridad operativa para determinar si ya han sido violadas y es posible que tengan que descubrir cómo proteger mejor sus operaciones e infraestructura".

En conjunto, las acciones representaron un éxito bien merecido para las fuerzas del orden contra un grupo que en los últimos cuatro años ha causado miles de millones de dólares en daños y extrajo la asombrosa cantidad de 120 millones de dólares de organizaciones de víctimas en todo el mundo. La operación sigue a una serie de éxitos similares durante el año pasado, incluido el derribo de ALPHV/Gato Negro, Colmena, Taquilla Ragnary Qakbot, un cuentagotas de ransomware muy utilizado.

Un desafío para reconstruir

Mientras que otros grupos se han recuperado después de derribos similares, el propio LockBit podría tener un desafío mayor para reiniciarse. En un blog tras la noticia del desmantelamiento, Trend Micro describió al grupo como uno que ha Recientemente luché mantenerse a flote debido a numerosos problemas. Estos incluyen el robo y posterior filtración del creador de LockBit por parte de un miembro descontento en septiembre de 2022, que permitió a otros actores de amenazas implementar ransomware basado en el código LockBit. Una serie de afirmaciones evidentemente falsas sobre nuevas víctimas y datos filtrados inventados en el sitio de filtración de LockBit a partir de abril pasado también han planteado dudas sobre el recuento de víctimas del grupo, y sus esfuerzos cada vez más frenéticos para atacar a nuevos afiliados han tenido un "aire de desesperación" en todo el mundo. eso, afirmó Trend Micro. La reputación de LockBit como un jugador confiable de RaaS entre los ciberdelincuentes también se vio afectada luego de los rumores de su negativa a pagar a sus afiliados como prometió, dijo el proveedor de seguridad.

Recientemente, el equipo administrativo de LockBit se ha visto bajo una presión significativa desde el punto de vista de la confiabilidad y la reputación luego de un ataque de ransomware a la empresa rusa AN Security en enero que involucró el ransomware LockBit, dice Aamil Karimi, líder de inteligencia de amenazas en Optiv.

"Los ataques contra países de la CEI están estrictamente prohibidos en la mayoría de las operaciones de RaaS", afirma Karimi. "Se enfrentaban a multas y al destierro de foros clandestinos como resultado del ataque a AN Security". Lo que se ha sumado al drama en torno al incidente son los rumores sobre un grupo rival que llevó a cabo el ataque deliberadamente para crear problemas a LockBit, señala.

¿Un soplón del FSB?

Debido a esto, hubo muchas oportunidades para que grupos rivales se apoderaran del espacio ocupado por LockBit. "No hubo ningún remordimiento por parte de los grupos rivales" tras la noticia del desmantelamiento de LockBit, dice. "LockBit fue el más prolífico de los grupos, pero en cuanto a respeto y reputación, no creo que se haya perdido ningún amor".

Bohuslavskiy de RedSense dice que las sospechas sobre la posibilidad de que un administrador de LockBit sea reemplazado por agentes del servicio de inteligencia exterior de Rusia (FSB) tampoco han ayudado a la imagen del grupo. Dice que los orígenes de estas sospechas se remontan a 2021, cuando el gobierno de Rusia pareció tomar una serie de acciones contra operadores de ransomware como REvil y Avaddon. Fue en ese momento que el administrador de LockBit de repente se quedó en silencio, dice Bohuslavskiy.

"Esto fue detectado principalmente por los [agentes de acceso inicial] que trabajaron directamente con [el administrador]", señala. “En agosto reapareció el administrador, y fue entonces cuando los IAB empezaron a decir que la persona fue cambiada y sustituida por un operativo del FSB”.

RedSense esta semana publicado un blog resumiendo los hallazgos de una investigación de tres años de LockBit, basada en conversaciones con miembros de la operación.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/cyberattacks-data-breaches/hubris-may-have-caused-lockbit-s-downfall