Una operación internacional coordinada por la Agencia Nacional Contra el Crimen del Reino Unido (NCA) ha logrado desarticular a LockBit, el grupo de ciberdelincuentes responsable de numerosos ataques de ransomware contra empresas e instituciones de todo el mundo.
¿Qué es LockBit?
LockBit es un malware que cifra los archivos de las víctimas y les exige el pago de un rescate, generalmente en criptomonedas, para recuperarlos. Además, amenaza con publicar los datos robados si no se cumple con sus demandas. Según la NCA, LockBit se centró en infraestructuras críticas y grandes grupos industriales, con rescates que oscilaban entre 5,4 y 75,4 millones de dólares.
La NCA calificó a LockBit como la banda de ransomware “más dañina” del mundo y destacó que sus ataques afectaron a más de 300 organizaciones en 2023, causando pérdidas económicas y operativas de gran magnitud. Entre sus víctimas más recientes se encuentran el Puerto de Lisboa, el banco chino ICBC y el fabricante de automóviles Stellantis.
Los ataques a entidades chilenas
En una serie de ataques cibernéticos que sacudieron a Chile, LockBit dejó su huella, comprometiendo importantes instituciones como el Poder Judicial y la Comisión Nacional de Acreditación (CNA). Utilizando su temible ransomware, LockBit cifró los archivos de estas entidades y exigió rescates para su liberación. La gravedad de estos incidentes llevó al CSIRT de Gobierno a emitir una alerta de seguridad y a proporcionar recomendaciones preventivas para hacer frente a esta amenaza.
“LockBit no solo ejemplificó las mejores prácticas y tácticas que permitieron a los actores de amenazas atacar con éxito a empresas durante un período prolongado, sino que también continuamente evolucionó su programa de asociación. El sitio web, ahora bajo control de las fuerzas del orden, reveló 194 cuentas en el programa de afiliados, incluida una para un administrador”, explicó Alexander Zabrovsky, Analista de Huella Digital en Kaspersky. “Para convertirse en miembro, los prospectos tenían que pasar con éxito una entrevista y dejar un depósito de un bitcoin, una medida destinada a protegerlos de las fuerzas del orden y expertos en ciberseguridad. Afortunadamente, como podemos ver ahora, esta estrategia en última instancia no aseguró su supervivencia”.
La operación para desbaratar “Lockbit”
La operación, denominada “Cronos”, contó con la participación de las fuerzas de seguridad de una decena de países, entre ellos Estados Unidos, Francia, Alemania, Países Bajos, Rumania y Ucrania. Durante la misma, se arrestó a dos personas de nacionalidad rusa vinculadas al grupo, se incautaron de activos digitales y se tomaron el control de una treintena de servidores ubicados en diferentes países europeos.
La operación “Cronos” es un ejemplo de la cooperación internacional para combatir el cibercrimen, que se ha convertido en una de las principales amenazas para la seguridad y la economía globales. Según un informe de la firma de ciberseguridad Kaspersky, el ransomware LockBit forma parte de la familia de malware “LockerGoga & MegaCortex”, que se caracteriza por lanzar ataques selectivos contra empresas y organizaciones gubernamentales.
El impacto de LockBit
Respecto del impacto que tuvo esta organización en el mundo del cibercrimen, Zabrovsky comentó que “LockBit sirvió como un modelo a seguir para muchos ciberdelincuentes, más allá de los operadores de ransomware. La desarticulación del grupo marca un hito significativo para toda la comunidad. Las acciones rápidas de las fuerzas del orden, desde la detención de socios hasta gestos más simbólicos, como cambiar la página principal del sitio web del grupo y publicar entradas de blog programadas, pueden tener un impacto psicológico profundo en varios ciberdelincuentes. Esto podría llevarlos a abstenerse de actividades fraudulentas por un tiempo, o incluso a replantearse y abandonar por completo sus empresas criminales. Los resultados potenciales de la desarticulación pueden, por un corto tiempo, disminuir el número de ataques de ransomware, ya que los ciberdelincuentes, como todos los demás, son susceptibles al miedo”.
“Sin embargo, es crucial no pasar por alto el potencial de que otro grupo llene el vacío dejado por LockBit, aprendiendo de sus errores y apuntando a operaciones aún más seguras. El objetivo principal de tales grupos, especialmente aquellos que ofrecen ransomware como servicio, son las ganancias, lo que puede incentivar a otros a replicar este modelo lucrativo. Por eso, fortalecer las defensas es fundamental tanto para las empresas como para las organizaciones sin fines de lucro”, sostuvo Zabrovsky.
Para prevenir y mitigar los efectos de este tipo de ataques, los expertos recomiendan mantener los sistemas actualizados, realizar copias de seguridad de los datos, utilizar antivirus y firewalls, evitar abrir correos o archivos sospechosos y no pagar los rescates, ya que esto no garantiza la recuperación de los archivos ni evita futuras extorsiones.
ACTUALIZACIÓN: Se incorporaron los comentarios de Alexander Zabrovsky, Analista de Huella Digital en Kaspersky.
