Policía arresta a Miembros del Ransomware LockBit y Libera el Descifrador del Mismo

Las fuerzas del orden arrestaron a dos operadores de la banda de ransomware LockBit en Polonia y Ucrania, crearon una herramienta de descifrado para recuperar archivos cifrados de forma gratuita y confiscaron más de 200 criptomonederos después de piratear los servidores de la banda de ciberdelincuentes en una operación internacional de represión.

Las autoridades judiciales francesas y estadounidenses también emitieron tres órdenes de arresto internacionales y cinco acusaciones contra otros actores de la amenaza LockBit.

Dos de las acusaciones fueron reveladas por el Departamento de Justicia de Estados Unidos contra dos ciudadanos rusos, Artur Sungatov e Ivan Gennadievich Kondratiev (alias Bassterlord), por su participación en los ataques LockBit.

Los cargos anteriores contra los actores del ransomware Lockbit incluyen a Mikhail Vasiliev (noviembre de 2022), Ruslan Magomedovich Astamirov (junio de 2023) y Mikhail Pavlovich Matveev, también conocido como Wazawaka (mayo de 2023).

Sungatov y Kondratiev también fueron sancionados hoy por la Oficina de Control de Activos Extranjeros del Departamento del Tesoro de Estados Unidos.

El Departamento de Estado de EE. UU. ofrece ahora una recompensa de hasta 15 millones de dólares a través del Programa de Recompensas contra el Crimen Organizado Transnacional por información sobre los asociados de LockBit: 10 millones de dólares por el liderazgo de LockBit y 5 millones de dólares adicionales para cualquier persona involucrada en ataques de ransomware LockBit.

Operación Cronos

La represión global de LockBit fue coordinada por la Operación Cronos, un grupo de trabajo encabezado por la Agencia Nacional contra el Crimen (NCA) del Reino Unido y coordinado en Europa por Europol y Eurojust. La investigación comenzó en abril de 2022 en Eurojust, a petición de las autoridades francesas.

“La operación de meses ha resultado en el compromiso de la plataforma principal de LockBit y otra infraestructura crítica que permitió su empresa criminal”, dijo hoy Europol.

“Esto incluye la caída de 34 servidores en los Países Bajos, Alemania, Finlandia, Francia, Suiza, Australia, Estados Unidos y el Reino Unido.

“Esta infraestructura está ahora bajo control policial, y más de 14.000 cuentas fraudulentas responsables de exfiltración o infraestructura han sido identificadas y remitidas para su eliminación por parte de las autoridades policiales”.

Europol ha dicho que los miembros de LockBit utilizaron esas cuentas fraudulentas para alojar herramientas y software utilizados en ataques y para almacenar datos robados de empresas.

Como parte de la Operación Cronos, las fuerzas del orden también recuperaron más de 1.000 claves de descifrado de los servidores LockBit incautados. Utilizando estas claves de descifrado, la policía japonesa, la NCA y la Oficina Federal de Investigaciones (FBI) desarrollaron una herramienta de descifrado LockBit 3.0 Black Ransomware con el apoyo de Europol.

Este descifrador gratuito ya está disponible a través del portal No More Ransom.

En este momento, se desconoce cuántas criptomonedas se almacenaron en las 200 billeteras incautadas. Sin embargo, es posible que las víctimas que pagaron demandas de rescate recuperen algunos de sus pagos de ransomware ahora, como lo hizo anteriormente el FBI con Colonial Pipeline y varias organizaciones de atención médica.

Europol dice que ha recopilado una “gran cantidad” de datos sobre la operación LockBit, que se utilizará en operaciones en curso dirigidas a los líderes del grupo, así como a sus desarrolladores y afiliados.

Infraestructura LockBit Incautada

Como parte de esta acción conjunta, la NCA ha tomado el control de los servidores LockBit utilizados para alojar datos robados de las redes de las víctimas en ataques de doble extorsión y de los sitios de filtración de la web oscura de la pandilla.

Los sitios web oscuros de LockBit fueron eliminados ayer y mostraban carteles de incautación que revelaban que la interrupción era el resultado de una acción policial internacional en curso.

La policía también confiscó el panel de afiliados del grupo de ransomware y ahora muestra un mensaje a los afiliados después de iniciar sesión indicando que también se confiscaron su información, el código fuente de LockBit, los chats y la información de las víctimas.

“Tenemos código fuente, detalles de las víctimas que has atacado, la cantidad de dinero extorsionada, los datos robados, chats y mucho, mucho más”, se lee en el mensaje.

“Es posible que nos pongamos en contacto con usted muy pronto. Que tenga un buen día. Saludos, la Agencia Nacional contra el Crimen del Reino Unido, el FBI, Europol y el Grupo de Trabajo de Aplicación de la Ley Operación Cronos”.

¿Quién es LockBit?

La operación LockBit ransomware-as-a-service (RaaS) surgió en septiembre de 2019 y desde entonces ha estado vinculada o ha reclamado ataques a muchas organizaciones de alto perfil en todo el mundo, incluidas Boeing, el Royal Mail del Reino Unido, el gigante automotriz Continental y el Servicio de Impuestos Internos de Italia.

En un aviso conjunto publicado en junio, las autoridades de ciberseguridad de EE. UU. y sus socios de todo el mundo estimaron que LockBit había extorsionado al menos 91 millones de dólares a organizaciones estadounidenses después de hasta 1.700 ataques desde 2020.

Hoy, el Departamento de Justicia de Estados Unidos dijo que la pandilla tuvo más de 2.000 víctimas y recaudó más de 120 millones de dólares en pagos de rescate después de demandas por un total de cientos de millones de dólares.

Más recientemente, Bank of America advirtió a sus clientes sobre una violación de datos después de que el proveedor de servicios externo Infosys McCamish Systems (IMS) fuera pirateado en un ataque reivindicado por LockBit.

En los últimos años, las operaciones policiales internacionales también han dado lugar a la incautación de servidores y sitios web oscuros utilizados por ALPHV (BlackCat) y Hive ransomware

Relacionado

Zoom corrige Falla Crítica de Elevación de Privilegios en Aplicaciones de Windows

Los clientes VDI y de escritorio de Zoom y el SDK de Meeting para Windows son vulnerables a una falla de validación de entrada incorrecta que podría permitir que un atacante no autenticado lleve a cabo una escalada de privilegios en el sistema de destino a través de la red. Zoom es un popular servicio de videoconferencia basado en la nube para reuniones corporativas, lecciones educativas, ¡SEGUIR LEYENDO!

White Phoenix un Nuevo Descifrador de Ransomware Online

CyberArk ha dado un paso significativo en la lucha contra el ransomware al lanzar una versión en línea de 'White Phoenix', un descifrador de ransomware de código abierto diseñado para combatir operaciones que utilizan encriptación intermitente. A pesar de que la herramienta está disponible de forma gratuita en GitHub como un proyecto en Python, CyberArk reconoció la necesidad de una versión en línea para atender a ¡SEGUIR LEYENDO!

VMware insta a los Administradores a eliminar este Complemento de Autenticación

VMware instó hoy a los administradores a eliminar un complemento de autenticación descontinuado expuesto a ataques de retransmisión de autenticación y secuestro de sesión en entornos de dominio de Windows a través de dos vulnerabilidades de seguridad que no se han parcheado. El vulnerable complemento de autenticación mejorada (EAP) de VMware permite un inicio de sesión fluido en las interfaces de administración de vSphere a través ¡SEGUIR LEYENDO!

Subdominios Secuestrados de Marcas Importantes utilizados en Campaña Masiva de Spam

Una campaña masiva de fraude publicitario llamada "SubdoMailing" utiliza más de 8.000 dominios de Internet legítimos y 13.000 subdominios para enviar hasta cinco millones de correos electrónicos por día para generar ingresos a través de estafas y publicidad maliciosa. La campaña se llama "SubdoMailing", ya que los actores de amenazas secuestran subdominios abandonados y dominios que pertenecen a empresas conocidas para enviar sus correos electrónicos maliciosos. ¡SEGUIR LEYENDO!

Sony sigue sin Confirmar si han sido Hackeados

Sony ha iniciado una investigación en respuesta a las afirmaciones de un grupo de ransomware, Ransomed.vc, que alega haber comprometido los sistemas de la compañía japonesa. El grupo amenaza con vender datos supuestamente robados de Sony y ha declarado que no los rescatará debido a que Sony se niega a pagar un rescate. Aunque estas afirmaciones aún no se han verificado, Ransomed.vc ha acumulado varias víctimas ¡SEGUIR LEYENDO!