Agencias policiales de 10 países han interrumpido la famosa operación de ransomware LockBit en una operación conjunta conocida como “Operación Cronos”.
Según un banner mostrado en el sitio web de filtración de datos de LockBit, el sitio ahora está bajo el control de la Agencia Nacional contra el Crimen del Reino Unido.
“El sitio ahora está bajo el control de las autoridades. Este sitio ahora está bajo el control de la Agencia Nacional contra el Crimen del Reino Unido, trabajando en estrecha cooperación con el FBI y el grupo de trabajo internacional de aplicación de la ley, Operación Cronos”, dice el cartel.
“Podemos confirmar que los servicios de Lockbit se han visto interrumpidos como resultado de la acción de las autoridades internacionales; esta es una operación en curso y en desarrollo”.
Si bien ya no se puede acceder al sitio de filtración de Lockbit, mostrando el banner de incautación incrustado debajo o un error “No se puede conectar” que dice que la conexión fue rechazada, algunos de los otros sitios web oscuros de la pandilla (incluidos otros sitios utilizados para alojar datos y enviar mensajes privados a la pandilla) todavía están levantados.
“La NCA puede confirmar que los servicios de LockBit se han visto interrumpidos como resultado de una acción policial internacional. Esta es una operación en curso y en desarrollo”, dijo un portavoz de la NCA.
Se espera que las fuerzas del orden detrás de la Operación Cronos publiquen un comunicado de prensa conjunto mañana a las 12:30 CET.
La operación LockBit está a cargo de un actor de amenazas conocido como LockBitSupp, que se comunica a través del servicio de mensajería Tox. El estado de su cuenta en el servicio ahora muestra un mensaje que indica que el FBI violó los servidores de la operación de ransomware utilizando un exploit PHP.
“El FBI jodió los servidores a través de PHP, los servidores de respaldo sin PHP no se pueden tocar”, se lee en el mensaje de estado traducido de LockBitSupp escrito en ruso.
La operación LockBit ransomware-as-a-service (RaaS) surgió en septiembre de 2019 y desde entonces se ha dirigido a una amplia gama de organizaciones de alto perfil en todo el mundo.
La policía también eliminó el panel de afiliados de LockBit y agregó un mensaje que decía que también se confiscaron el código fuente de LockBit, los chats y la información de las víctimas.
“Las fuerzas del orden han tomado el control de la plataforma de Lockbit y han obtenido toda la información contenida allí. Esta información se relaciona con el grupo Lockbit y usted, su afiliado. Tenemos el código fuente, detalles de las víctimas que ha atacado, la cantidad de dinero extorsionado, los datos robados, chats y mucho, mucho más”, dice el mensaje que se muestra en el panel LockBit.
“Puede agradecer a Lockbitsupp y su defectuosa infraestructura por esta situación… es posible que nos comuniquemos con usted muy pronto. Que tenga un buen día. Saludos, La Agencia Nacional contra el Crimen del Reino Unido, el FBI, Europol y la Operación Ley Cronos Grupo de trabajo de aplicación de la ley.”
La lista de víctimas de LockBit incluye al Royal Mail del Reino Unido, la ciudad de Oakland, el gigante automotriz continental y el Servicio de Impuestos Internos de Italia.
Más recientemente, Bank of America advirtió a sus clientes que su información personal quedó expuesta en una violación de datos después de que Infosys McCamish Systems (IMS), uno de sus proveedores de servicios, fuera pirateado en un ataque reivindicado por la banda de ransomware LockBit.
Las autoridades de ciberseguridad de Estados Unidos y sus socios en todo el mundo dijeron en un aviso conjunto publicado en junio que la pandilla LockBit ha extorsionado al menos 91 millones de dólares a organizaciones estadounidenses luego de hasta 1.700 ataques desde 2020.
En los últimos años, las fuerzas del orden también se apoderaron de los servidores del ransomware ALPHV (BlackCat) y de los sitios de fuga de datos y pagos Tor del ransomware Hive.