Las fuerzas del orden arrestaron a dos operadores de la banda de ransomware LockBit en Polonia y Ucrania, crearon una herramienta de descifrado para recuperar archivos cifrados de forma gratuita y confiscaron más de 200 criptomonederos después de piratear los servidores de la banda de ciberdelincuentes en una operación internacional de represión.
Las autoridades judiciales francesas y estadounidenses también emitieron tres órdenes de arresto internacionales y cinco acusaciones contra otros actores de la amenaza LockBit.
Dos de las acusaciones fueron reveladas por el Departamento de Justicia de Estados Unidos contra dos ciudadanos rusos, Artur Sungatov e Ivan Gennadievich Kondratiev (alias Bassterlord), por su participación en los ataques LockBit.
Los cargos anteriores contra los actores del ransomware Lockbit incluyen a Mikhail Vasiliev (noviembre de 2022), Ruslan Magomedovich Astamirov (junio de 2023) y Mikhail Pavlovich Matveev, también conocido como Wazawaka (mayo de 2023).
Sungatov y Kondratiev también fueron sancionados hoy por la Oficina de Control de Activos Extranjeros del Departamento del Tesoro de Estados Unidos.
El Departamento de Estado de EE. UU. ofrece ahora una recompensa de hasta 15 millones de dólares a través del Programa de Recompensas contra el Crimen Organizado Transnacional por información sobre los asociados de LockBit: 10 millones de dólares por el liderazgo de LockBit y 5 millones de dólares adicionales para cualquier persona involucrada en ataques de ransomware LockBit.
Operación Cronos
La represión global de LockBit fue coordinada por la Operación Cronos, un grupo de trabajo encabezado por la Agencia Nacional contra el Crimen (NCA) del Reino Unido y coordinado en Europa por Europol y Eurojust. La investigación comenzó en abril de 2022 en Eurojust, a petición de las autoridades francesas.
“La operación de meses ha resultado en el compromiso de la plataforma principal de LockBit y otra infraestructura crítica que permitió su empresa criminal”, dijo hoy Europol.
“Esto incluye la caída de 34 servidores en los Países Bajos, Alemania, Finlandia, Francia, Suiza, Australia, Estados Unidos y el Reino Unido.
“Esta infraestructura está ahora bajo control policial, y más de 14.000 cuentas fraudulentas responsables de exfiltración o infraestructura han sido identificadas y remitidas para su eliminación por parte de las autoridades policiales”.
Europol ha dicho que los miembros de LockBit utilizaron esas cuentas fraudulentas para alojar herramientas y software utilizados en ataques y para almacenar datos robados de empresas.
Como parte de la Operación Cronos, las fuerzas del orden también recuperaron más de 1.000 claves de descifrado de los servidores LockBit incautados. Utilizando estas claves de descifrado, la policía japonesa, la NCA y la Oficina Federal de Investigaciones (FBI) desarrollaron una herramienta de descifrado LockBit 3.0 Black Ransomware con el apoyo de Europol.
Este descifrador gratuito ya está disponible a través del portal No More Ransom.
En este momento, se desconoce cuántas criptomonedas se almacenaron en las 200 billeteras incautadas. Sin embargo, es posible que las víctimas que pagaron demandas de rescate recuperen algunos de sus pagos de ransomware ahora, como lo hizo anteriormente el FBI con Colonial Pipeline y varias organizaciones de atención médica.
Europol dice que ha recopilado una “gran cantidad” de datos sobre la operación LockBit, que se utilizará en operaciones en curso dirigidas a los líderes del grupo, así como a sus desarrolladores y afiliados.
Infraestructura LockBit Incautada
Como parte de esta acción conjunta, la NCA ha tomado el control de los servidores LockBit utilizados para alojar datos robados de las redes de las víctimas en ataques de doble extorsión y de los sitios de filtración de la web oscura de la pandilla.
Los sitios web oscuros de LockBit fueron eliminados ayer y mostraban carteles de incautación que revelaban que la interrupción era el resultado de una acción policial internacional en curso.
La policía también confiscó el panel de afiliados del grupo de ransomware y ahora muestra un mensaje a los afiliados después de iniciar sesión indicando que también se confiscaron su información, el código fuente de LockBit, los chats y la información de las víctimas.
“Tenemos código fuente, detalles de las víctimas que has atacado, la cantidad de dinero extorsionada, los datos robados, chats y mucho, mucho más”, se lee en el mensaje.
“Es posible que nos pongamos en contacto con usted muy pronto. Que tenga un buen día. Saludos, la Agencia Nacional contra el Crimen del Reino Unido, el FBI, Europol y el Grupo de Trabajo de Aplicación de la Ley Operación Cronos”.
¿Quién es LockBit?
La operación LockBit ransomware-as-a-service (RaaS) surgió en septiembre de 2019 y desde entonces ha estado vinculada o ha reclamado ataques a muchas organizaciones de alto perfil en todo el mundo, incluidas Boeing, el Royal Mail del Reino Unido, el gigante automotriz Continental y el Servicio de Impuestos Internos de Italia.
En un aviso conjunto publicado en junio, las autoridades de ciberseguridad de EE. UU. y sus socios de todo el mundo estimaron que LockBit había extorsionado al menos 91 millones de dólares a organizaciones estadounidenses después de hasta 1.700 ataques desde 2020.
Hoy, el Departamento de Justicia de Estados Unidos dijo que la pandilla tuvo más de 2.000 víctimas y recaudó más de 120 millones de dólares en pagos de rescate después de demandas por un total de cientos de millones de dólares.
Más recientemente, Bank of America advirtió a sus clientes sobre una violación de datos después de que el proveedor de servicios externo Infosys McCamish Systems (IMS) fuera pirateado en un ataque reivindicado por LockBit.
En los últimos años, las operaciones policiales internacionales también han dado lugar a la incautación de servidores y sitios web oscuros utilizados por ALPHV (BlackCat) y Hive ransomware