ClickCease El bloqueo de Lockbit: La caída de un cártel de ransomware

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

El bloqueo de Lockbit: La caída de un cártel de ransomware

por Joao Correia

28 de febrero de 2024 - Evangelista técnico

En el momento en que escribo esto, a principios de esta semana acaba de publicarse una noticia bomba sobre ciberseguridad que, por una vez, es realmente un giro positivo de los acontecimientos. Me refiero a la Operación Cronos, una operación policial internacional que incautó la infraestructura del ransomware Lockbit, condujo a la detención de personas afiliadas a la organización criminal y dio lugar a la publicación de una herramienta oficial de descifrado de archivos cifrados con Lockbit.

 

 

El escenario del ransomware

 

 

El ransomware es uno de los tipos de malware más insidiosos, en el que un actor malicioso despliega -a través de diferentes métodos- software específicamente diseñado para cifrar los archivos almacenados en un sistema objetivo, dejándolos inutilizables hasta que la organización o el individuo víctima accede a pagar un "rescate" para restaurar el acceso a esos archivos.

Ten en cuenta que aceptar pagar el rescate no significa necesariamente que vayas a recuperar el acceso a esos archivos (no hay honor entre ladrones, como dice el refrán) y te convierte en una víctima voluntaria, lista para la próxima extorsión.

Además, como si no fuera suficiente, los operadores de ransomware ahora también emplean la llamada táctica de la doble extorsión, en la que primero pagas para recuperar el acceso a tus propios datos, y luego te "invitan" a pagar para evitar que los datos que el actor malicioso exfiltró antes del cifrado se publiquen en línea. La propiedad intelectual, los secretos comerciales, los acuerdos confidenciales y la información personal identificable son objetivos fáciles para estos individuos y grupos sin escrúpulos.

De hecho, las tácticas son tan exitosas que los grupos centrados en el ransomware ahora operan grandes organizaciones similares a empresas, y han desarrollado todo un modelo económico en torno al ransomware como servicio, en el que proporcionan su infraestructura y software a "afiliados" que luego encuentran y atacan a las organizaciones objetivo, dando un recorte (según los informes, en torno al 30%) a la organización de ransomware, que procede a blanquear el dinero del pago del rescate. 

Hasta el año pasado había tres grandes actores en el ámbito del ransomware: AlphV/Blackcat, Conti y Lockbit. Las fuerzas de seguridad atacaron a los dos primeros en la segunda mitad de 2023 y, si no los eliminaron por completo, redujeron drásticamente su capacidad para seguir operando.

Lockbit fue golpeado esta semana.

 

Bloqueo de Lockbit

 

 

La operación contra Lockbit, denominada Operación Cronos, marca un hito importante en la lucha contra el ransomware. Esta operación, en la que han participado múltiples organismos internacionales encargados de la aplicación de la ley, entre ellos la National Crime Agency (NCA) del Reino Unido y el FBI, y que ha sido coordinada a escala transfronteriza por Europol y Eurojust, pone de manifiesto el poder de la cooperación internacional a la hora de desarticular empresas ciberdelictivas.

Recientes comunicados de las fuerzas de seguridad han arrojado luz sobre los intrincados detalles de las operaciones de Lockbit, desde sus prácticas de blanqueo de dinero y criptomoneda hasta sus avanzadas técnicas comerciales y la infraestructura utilizada para apoyar a sus afiliados. Estas revelaciones proporcionan información muy valiosa sobre el funcionamiento de las bandas modernas de ransomware y ponen de relieve los retos a los que se enfrentan los profesionales de la ciberseguridad hoy en día.

 

 

Un ataque coordinado contra la ciberdelincuencia

 

 

Las detenciones en Polonia y Ucrania, junto con la incautación de más de 200 monederos de criptomonedas, demuestran la eficacia del contraataque a los ciberdelincuentes. Al infiltrarse en los servidores de la banda Lockbit, las autoridades pudieron desmantelar una parte significativa de la infraestructura del ransomware, paralizando sus operaciones y proporcionando alivio a innumerables víctimas potenciales.

Además, la colaboración entre las fuerzas del orden y las empresas de ciberseguridad, como SecureWorks y TrendMicro, ha sido fundamental para analizar las tácticas de Lockbit y las futuras iteraciones de su ransomware. Esta colaboración no sólo ha facilitado el desmantelamiento, sino que también ha garantizado la publicación de una herramienta de descifrado de Lockbit, que ofrece un salvavidas a las entidades afectadas.

De hecho, la publicación de la herramienta de descifrado refuerza un punto largamente argumentado cuando se produce un incidente de ransomware: conservar los datos cifrados el mayor tiempo posible. Varias operaciones en el pasado han descubierto las claves privadas utilizadas para cifrar los datos y han sido puestas a disposición del público. Si estás en posición de esperar -es decir, los datos cifrados no son inmediatamente necesarios- esta estrategia de esperar y ver es más barata y potencialmente más segura a la hora de abordar este problema.

 

 

Sanciones y avisos de ciberseguridad: Un enfoque dual

 

 

En decisión de Estados Unidos de imponer sanciones a las filiales del grupo ruso Lockbit subraya el compromiso del Gobierno con un enfoque integral contra las ciberamenazas. Estas sanciones, unidas a detallados avisos de ciberseguridad, pretenden proteger a ciudadanos e instituciones de los ataques de ransomware y responsabilizar a quienes posibilitan estas actividades maliciosas.

 

 

Lockbit: Un estudio de caso sobre la evolución del ransomware

 

 

Lockbit, conocido por su modelo de ransomware como servicio y sus tácticas de doble extorsión, representa la evolución del panorama de amenazas de la ciberdelincuencia. La capacidad del grupo para filtrar y cifrar grandes cantidades de datos antes de exigir el pago de rescates lo ha convertido en una de las variantes de ransomware más prolíficas a nivel mundial. Como referencia, el grupo ha recibido más de 100 millones de dólares sólo en el último año en pagos de rescates.

La incautación de la infraestructura de Lockbit, incluidos los servidores utilizados para alojar datos robados y sus sitios de filtración en la web oscura, supone una importante victoria para las fuerzas del orden. Sin embargo, también sirve para recordar la naturaleza persistente y adaptable de los ciberdelincuentes.

 

 

La ironía del derribo

 

 

Entonces, ¿cómo se detuvo exactamente a Lockbit? Resulta que uno de sus servidores web orientados a la red de cebolla no estaba parcheado para una vulnerabilidad conocida. La misma táctica empleada para acceder ilegalmente a los sistemas de las víctimas se utilizó para acceder e identificar el servidor desde el que Lockbit proporcionaba asistencia "al cliente" a las víctimas del ransomware (léase: donde regateaban el importe del rescate y amenazaban a las víctimas para que pagaran el rescate).

El sitio web se ejecutaba sobre PHP 8, y la versión específica era vulnerable a CVE-2023-3824. Supongo que todo el mundo es culpable de retrasar la aplicación de parches en algún momento.

 

 

Avanzar: Lecciones aprendidas y camino por recorrer

 

 

El éxito de la operación Cronos contra Lockbit demuestra la importancia de la colaboración internacional y la necesidad de un enfoque polifacético de la ciberseguridad. Mientras celebramos esta victoria, también debemos prepararnos para la inevitable evolución de las tácticas del ransomware y la aparición de nuevas amenazas.

El impulso económico que hay detrás del ransomware garantiza que el espacio que ahora queda libre será sin duda rápidamente disputado por nuevos actores y grupos. El hecho de que algunos de los miembros de Lockbit permanezcan en jurisdicciones fuera del alcance de las fuerzas de seguridad internacionales y prácticamente inmunes al efecto de las sanciones, no será descabellado imaginar una situación en la que vuelva a surgir una nueva variante o una organización de Lockbit rebautizada.

Tanto los profesionales de la ciberseguridad como las organizaciones y los particulares deben permanecer alerta, adoptando medidas de defensa proactivas y fomentando la cooperación para contrarrestar la amenaza siempre presente del ransomware. La lucha contra la ciberdelincuencia está lejos de haber terminado, pero operaciones como Cronos ofrecen esperanza y un modelo para futuros éxitos en esta batalla en curso. 

El lado (muy) positivo de esta historia es que, una vez más, muestra lo frágiles que son realmente estas organizaciones criminales, incluso cuando se esconden tras la fachada de estereotipos de hackers cerebros, como se les suele representar.

 

Resumen
El bloqueo de Lockbit: La caída de un cártel de ransomware
Nombre del artículo
El bloqueo de Lockbit: La caída de un cártel de ransomware
Descripción
Acaba de publicarse un bombazo en ciberseguridad que, por una vez, es un giro positivo de los acontecimientos. Hablemos del ransomware Lockbit
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

¡Ayúdenos a comprender
el panorama de Linux!

Complete nuestra encuesta sobre el estado del código abierto y podrá ganar uno de varios premios, ¡el máximo valorado en 500 dólares!

Su experiencia es necesaria para dar forma al futuro de Enterprise Linux.