LockBit es un ransomware malicioso utilizado para bloquear el acceso de los usuarios a los sistemas informáticos y pedir después el pago de un rescate.

Tras varios ataques a empresas y organizaciones durante cuatro años, en una operación conjunta internacional denominada operación Cronos, las fuerzas policiales de diez países han logrado desarticular la operación del ransomware LockBit. Dicha web se encuentra ahora bajo el control de The National Crime Agency (NCA) de Reino Unido, en coordinación con el FBI.

Por otro lado, la operación ha resultado en la incautación del panel de afiliados de LockBit, con un mensaje de la NCA que detalla la confiscación del código fuente de la plataforma del ransomware, conversaciones y la información de las víctimas. Entre las víctimas de LockBit, se encuentran la Royal Mail del Reino Unido, la ciudad de Oakland, el gigante automotriz Continental y el Servicio de Ingresos Internos italiano.

En la actualidad, una gran cantidad de datos recopilados a lo largo de la investigación están en posesión de las autoridades. Estos datos se utilizarán para respaldar las actividades operativas internacionales en curso centradas en atacar a los líderes de este grupo, así como a los desarrolladores, afiliados, infraestructura y activos criminales vinculados a estas actividades criminales. 

Esta acción se suma a otros esfuerzos recientes de aplicación de la ley, como la incautación de servidores de ransomware ALPHV (BlackCat) y sitios de pago y filtración de datos del ransomware Hive. La advertencia conjunta de autoridades de ciberseguridad de EE. UU. y sus aliados en el pasado mes de junio reveló que LockBit ha extorsionado al menos 91 millones de dólares de organizaciones estadounidenses mediante 1.700 ataques desde 2020.

El ransomware más dañino del mundo 

LockBit surgió por primera vez a finales de 2019 y primero se llamó a sí mismo ransomware «ABCD». Desde entonces, ha crecido rápidamente y en 2022 se convirtió en la variante de ransomware más implementada en todo el mundo.

El grupo es una operación de ransomware como servicio, lo que significa que un equipo central crea su malware y ejecuta su sitio web, mientras otorga licencias de su código a afiliados que lanzan ataques.

La presencia de ataque de LockBit se ve a nivel mundial, con cientos de afiliados reclutados para realizar operaciones de ransomware utilizando las herramientas e infraestructura de LockBit. Los pagos de rescate se dividieron entre el equipo central de LockBit y los afiliados, quienes recibieron en promedio tres cuartas partes de los pagos de rescate cobrados.

El grupo de ransomware también es famoso por experimentar con nuevos métodos para presionar a sus víctimas para que paguen rescates. La triple extorsión es uno de esos métodos que incluye los métodos tradicionales de cifrar los datos de la víctima y amenazar con filtrarlos, pero también incorpora ataques de denegación de servicio distribuido (DDoS) como una capa adicional de presión.

El paso de la pandilla a la triple extorsión estuvo influenciado en parte por un ataque DDoS que ellos mismos sufrieron, que impidió su capacidad de publicar datos robados. En respuesta, LockBit mejoró su infraestructura para resistir tales ataques.

Esta infraestructura está ahora bajo control policial, y más de 14.000 cuentas fraudulentas responsables de exfiltración o infraestructura han sido identificadas y remitidas para su eliminación por parte de las autoridades.