Europol sacó un comunicado informando sobre la operación que termino con el arresto de miembros del grupo de Ransomware Lockbit. Este es ampliamente reconocido como el ransomware más prolífico y dañino del mundo, causando daños por valor de miles de millones de dólares.
Esta operación global fue el resultado de una investigación exhaustiva liderada por la Agencia Nacional contra el Crimen del Reino Unido, en colaboración con un equipo internacional denominado ‘Operación Cronos’, la investigación comenzó en abril de 2022 con la coordinación de Europol y Eurojust a nivel europeo.
Durante varios meses, esta operación ha comprometido significativamente la infraestructura clave de LockBit, incluyendo la desactivación de 34 servidores ubicados en una variedad de países como los Países Bajos, Alemania, Finlandia, Francia, Suiza, Australia, Estados Unidos y el Reino Unido.
Como resultado de esta operación, las autoridades lograron arrestar a dos individuos clave asociados con el grupo de ransomware LockBit en Polonia y Ucrania. Además, desarrollaron una herramienta de descifrado para ayudar a las víctimas a recuperar sus archivos sin costo y también incautaron más de 200 billeteras de criptomonedas asociadas al grupo criminal.
En un esfuerzo coordinado, las autoridades de Francia y Estados Unidos emitieron tres órdenes de arresto internacionales y presentaron cinco cargos contra otros miembros del grupo LockBit.
El Departamento de Justicia de Estados Unidos ha hecho públicos los cargos contra dos ciudadanos rusos, Artur Sungatov e Ivan Gennadievich Kondratiev (conocido como Bassterlord), por su implicación en las operaciones de LockBit.
Estos se suman a los cargos previamente anunciados contra otros miembros del grupo, incluidos Mikhail Vasiliev (noviembre de 2022), Ruslan Magomedovich Astamirov (junio de 2023), y Mikhail Pavlovich Matveev, también conocido como Wazawaka (mayo de 2023).
La Agencia Nacional contra el Crimen del Reino Unido ha conseguido tomar el control de la infraestructura técnica esencial para la operación del servicio LockBit, incluido su sitio de filtraciones en la dark web, donde previamente publicaban datos robados durante ataques de ransomware.
Fuerza de Tarea Operación Cronos
Esta actividad forma parte de una campaña en curso y concertada del grupo de trabajo internacional «Operation Cronos» para atacar e interrumpir el ransomware LockBit. Las siguientes autoridades forman parte de este grupo de trabajo:
- Francia: Gendarmería Nacional (Gendarmerie Nationale – Unité nationale cyber C3N)
- Alemania: Oficina Estatal de Investigación Criminal de Schleswig-Holstein (LKA Schleswig-Holstein), Oficina Federal de Policía Criminal (Bundeskriminalamt)
- Países Bajos: Policía Nacional (Equipo de Ciberdelincuencia de Zelanda-Brabante Occidental, Equipo de Ciberdelincuencia de Oost-Brabante, Equipo de Delitos de Alta Tecnología) y Fiscalía de Zelanda-Brabante Occidental
- Suecia: Autoridad de Policía de Suecia
- Australia: Policía Federal Australiana (AFP)
- Canadá: Real Policía Montada de Canadá (RCMP)
- Japón: Agencia Nacional de Policía (警察庁)
- Reino Unido: Agencia Nacional contra el Crimen (NCA), Unidad Regional de Delincuencia Organizada del Suroeste (ROCU del Sudoeste)
- Estados Unidos: Departamento de Justicia de los Estados Unidos (DOJ), Oficina Federal de Investigaciones (FBI) Newark
- Suiza: Oficina Federal de Policía de Suiza (fedpol), Fiscalía del cantón de Zúrich, Policía cantonal de Zúrich
El éxito de la acción fue posible gracias al apoyo de los siguientes países:
- Finlandia: Policía Nacional (Poliisi)
- Polonia: Oficina Central de Delitos Cibernéticos de Cracovia (Centralne Biuro Zwalczania Cyberprzestępczości – Zarząd w Krakowie)
- Nueva Zelanda: Policía de Nueva Zelanda (Nga Pirihimana O Aotearoa)
- Ucrania: Fiscalía General de Ucrania (Офіс Генерального прокурора України), Departamento de Ciberseguridad del Servicio de Seguridad de Ucrania (Служба безпеки України), Policía Nacional de Ucrania (Національна поліція України)
Comunicación Oficial del Departamento de Justicia de los EE.UU
Herramientas de descifrado disponibles en «No-More Ransom»
Con el apoyo de Europol, la Policía japonesa, la Agencia Nacional contra el Crimen y la Oficina Federal de Investigaciones han concentrado su experiencia técnica para desarrollar herramientas de descifrado diseñadas para recuperar archivos cifrados por el ransomware LockBit.
Estas soluciones se han puesto a disposición de forma gratuita en el portal ‘No More Ransom’, disponible en 37 idiomas. Hasta ahora, más de 6 millones de víctimas en todo el mundo se han beneficiado de No More Ransom, que contiene más de 120 soluciones capaces de descifrar más de 150 tipos diferentes de ransomware.
Notificación de incidente a «clientes» de Lockbit
Este grupo de igual modo que lo harían las compañías al sufrir un incidente informático, han comunicado sobre esto a sus clientes, mencionando que esto pudo haber afectado su información personal como nombres, direcciones de correo y contraseñas encriptadas. Además le ofrecen a sus afiliados un servicio de monitoreo de su información personal por 12 meses, para identificar posibles robos de identidad.
Conclusión Personal
Este comunicado a los clientes y las cifras millonarias que las agencias están ofreciendo por los líderes del grupo, presume que posiblemente este actor siga de pie brevemente o en su defecto sus miembros se puedan unir a otros como Alphv o TheHive, quienes fueron afectados por el FBI en otras operaciones pasadas. Debemos tener en cuenta que estamos hablando de uno de los actores más importantes del Ransomware y por lo tanto su cantidad de miembros también debe ser un numero a considerar. Creemos que esto solo fue una afectación a una parte de la infraestructura de LockBit y que pronto habrá posibles novedades.
Ciberprisma - alianza por la ciberseguridad 
¡Una muy buena hazaña!
Me gustaMe gusta