La banda de ransomware LockBit recibió más de 125 millones de dólares en pagos de rescate durante los últimos 18 meses, según el análisis de cientos de carteras de criptomonedas asociadas con la operación.
Tras la caída de LockBit en la Operación Cronos, la Agencia Nacional contra el Crimen (NCA) del Reino Unido, con el apoyo de la empresa de análisis de blockchain Chainalysis, identificó más de 500 direcciones de criptomonedas activas.
El Dinero de LockBit
Después de piratear la infraestructura de LockBit, las autoridades obtuvieron 30.000 direcciones de Bitcoin utilizadas para gestionar las ganancias del grupo a partir de los pagos de rescate.
Más de 500 de estas direcciones están activas en la cadena de bloques y recibieron más de 125 millones de dólares (al valor actual de Bitcoin) entre julio de 2022 y febrero de 2024.
La investigación encontró que más de 2.200 BTC (más de 110 millones de dólares al tipo de cambio actual) permanecían sin gastar cuando se interrumpió LockBit.
Un comunicado de prensa de la NCA de hoy señala que “estos fondos representan una combinación de pagos de víctimas y LockBit” y que una parte importante de este dinero representa la tarifa del 20% que los afiliados pagaron a los desarrolladores de ransomware.
Esto significa que la cifra total de los rescates que las víctimas pagaron para evitar una filtración de datos es “mucho, mucho mayor”, explica la NCA.
(Como destacó la agencia, el actor de amenazas no siempre eliminó los datos robados, o todos ellos, incluso si la víctima pagó el rescate)
La agencia encargada de hacer cumplir la ley dice que las cantidades descubiertas en la investigación indican que los totales reales del rescate ascienden a cientos de millones.
Vale la pena destacar que las impresionantes cantidades son representativas sólo de 18 meses de actividad cibercriminal de LockBit.
“Dado que los ataques confirmados por LockBit durante sus 4 años de funcionamiento suman más de 2.000, esto sugiere que su impacto global es del orden de miles de millones de dólares” – Agencia Nacional contra el Crimen del Reino Unido.
A mediados de junio de 2023, la Agencia de Defensa Cibernética de Estados Unidos (CISA) dijo que LockBit era responsable de 1.700 ataques de ransomware en Estados Unidos desde 2020 y que la pandilla extorsionó a las víctimas por 91 millones de dólares.
La NCA también dijo que hacerse cargo de la infraestructura de LockBit llevó al descubrimiento de 85 cuentas de intercambio de criptomonedas, ahora restringidas por Binance, con cientos de miles de dólares en criptoactivos.
Casi Cuatro Años en el Juego
LockBit surgió en septiembre de 2019 (como ABCD) y se centró en organizaciones de alto perfil como Boeing, Royal Mail del Reino Unido, Continental, Bangkok Airways y Accenture.
Se convirtió en el grupo de ransomware más activo, siendo responsable de la mayoría de los ataques de este tipo en 2023, alternando entre múltiples malware de cifrado de archivos a lo largo de los años (LockBit 2.0, LockBit 3.0, LockBit Green) y uno nuevo en proceso.
En el momento de su interrupción, el grupo LockBit también era el más antiguo en la escena del ransomware y probablemente uno de los más grandes, con cerca de 200 afiliados.
Las fuerzas del orden en 10 países colaboraron para tomar el control de la infraestructura del actor de la amenaza, coordinar la interrupción, recopilar información de los servidores, realizar arrestos e imponer sanciones.
Aunque la infraestructura de los piratas informáticos está controlada por las fuerzas del orden, los líderes del grupo y la mayoría de sus afiliados aún no han sido identificados.
El Departamento de Estado de EE. UU. ofrece hasta 15 millones de dólares en recompensas a cualquiera que pueda proporcionar información sobre los miembros de la banda de ransomware LockBit y sus socios.