Por David Sancho, senior antimalware researcher, Trend Micro
LockBit era uno de los grupos de ransomware como servicio (RaaS) más prolíficos del mundo, con miles de víctimas en los últimos tres años y hasta un tercio de todos los ataques. Por eso, cuando una operación policial dirigida por la National Crime Agency (NCA) del Reino Unido desarticuló el grupo en febrero, fue motivo de celebración. Y lo que es mejor, parece que los esfuerzos de LockBit por reaparecer no están teniendo éxito.
Esto es música para nuestros oídos. Trend Micro ha colaborado estrechamente con la Operación Cronos desde el principio. El flujo bidireccional de inteligencia que compartimos con las fuerzas de seguridad ayuda a mantener a nuestros clientes más seguros y a construir un mundo digital más seguro para todos.
El regreso de LockBit está fracasando
La Operación Cronos fue diferente en varios aspectos a muchas de las típicas operaciones de desmantelamiento de grupos delictivos por parte de las fuerzas de seguridad. Aunque a menudo se centran en eliminar la infraestructura de mando y control, esta operación fue más allá. La policía consiguió poner en peligro el panel de administración de LockBit, descubrir a sus afiliados y acceder a información y conversaciones entre afiliados y víctimas. Este esfuerzo acumulado ha contribuido a empañar la reputación de LockBit entre los afiliados y la comunidad de ciberdelincuentes en general, lo que dificultará su recuperación. El cabecilla «Lockbitsupp» también ha sido expulsado de dos populares foros clandestinos: XSS y Exploit.
Esto no ha impedido que el grupo intente reconstruirse. Una semana después de la operación se lanzaron nuevos sitios de filtración .onion, y Lockbitsupp está buscando activamente intermediarios que vendan acceso a los TLD .gov, .edu y .org, en lo que parece ser una represalia por Cronos. El grupo también ha estado desarrollando una nueva versión de ransomware, Lockbit-NG-Dev, que hemos seguido y analizado de cerca.
Sin embargo, estos esfuerzos parecen estar fracasando: nuestra telemetría revela solo un pequeño grupo de actividad después de Cronos, de un afiliado en el sudeste asiático. Aunque se han publicado decenas de víctimas en el nuevo sitio de filtraciones de LockBit, la gran mayoría fueron reubicadas de campañas anteriores, o son víctimas de otros grupos de amenazas como ALPHV.
De hecho, hay varias razones para creer que el tiempo de LockBit puede haber terminado.
- El daño a su reputación es inmenso
- Llevará tiempo recuperarse de la interrupción de su infraestructura y las operaciones
- Al acceder a la información de los afiliados y mostrar una página de advertencia a cualquier afiliado que intente iniciar sesión en el panel de administración, la policía ha dañado aún más la reputación de LockBit
- La prohibición de Exploit/XSS afectará a la capacidad del grupo para reclutar y comunicarse
Comprometidos con la lucha
Todo esto es una gran noticia. Puede que incluso frene el ritmo de los ataques de ransomware de otros grupos, ya que se apagan temporalmente para comprobar su propia seguridad operativa y el posible compromiso de las fuerzas de seguridad. Incluso puede haber provocado la reciente decisión de ALPHV de abandonar la estafa.
Desde nuestro punto de vista, la operación ha sido otro recordatorio del valor de nuestra estrecha y duradera colaboración con las fuerzas del orden. La información privilegiada que compartimos nos ayuda a proteger más rápidamente a nuestros clientes frente a las nuevas amenazas. Esto, a su vez, fomenta la lealtad y contribuye al crecimiento de nuestro negocio, alimentando un círculo virtuoso en el que podemos reinvertir más beneficios en la mejora de la detección de amenazas y la inteligencia.
También permite a organizaciones de todo tipo operar en un mundo digital más seguro. Por ejemplo, nuestro trabajo en Lockbit-NG-Dev proporcionó protección avanzada para ayudar a neutralizar la nueva variante de ransomware. Así que elogiamos a nuestros partners de las fuerzas de seguridad por su gran trabajo en la Operación Cronos. Y seguimos comprometidos con la causa. La mejor forma que tenemos de desbaratar a nuestros adversarios comunes es compartiendo inteligencia de forma rápida y eficaz.