La operación internacional para desarticular LockBit, uno de los grupos de ciberdelincuentes "más dañinos" del mundo

Una operación policial internacional desmanteló al grupo de ciberdelincuentes LockBit, presentado como "el más dañino" del mundo por ataques que perjudicaron a miles de personas y causaron pérdidas millonarias a hospitales, alcaldías y otras instituciones.

La información fue dada a conocer el martes por las autoridades de varios países. "Después de infiltrarse en la red del grupo, la Agencia Criminal Nacional (NCA) británica tomó el control de los servicios de LockBit, comprometiendo la totalidad de su empresa criminal", anunció la NCA en un comunicado.

Esta es una mirada sobre cómo la denominada Operación Cronos y los antecedentes delictuales de este grupo.

¿Qué información existía sobre LockBit?

• LockBit opera desde 2019, inicialmente bajo el nombre ABCD, y ha sido la banda de software extorsionista más prolífica de los últimos dos años.
• El grupo es responsable del 23% de los casi 4.000 ataques del año pasado en el que las pandillas publicaron datos robados a las víctimas para extorsionarlas, según la firma de ciberseguridad Palo Alto Networks.



• El grupo es dominado por personas de habla rusa y no ataca las naciones de la antigua Unión Soviética.
• Según la NCA, las investigaciones no revelaron un "apoyo directo" del Estado ruso hacia LockBit, pero sí una "tolerancia" hacia la ciberdelincuencia en Rusia.

¿Cómo operaba la banda?

• Los ciberdelincuentes ponían a disposición de sus "afiliados" herramientas e infraestructuras que les permitían realizar ataques de "ransomware".
• Estos consistían en infectar la red informática de las víctimas para robar sus datos y cifrar sus archivos.
• Se exigía un rescate en criptomonedas para descifrar y recuperar la información, bajo amenaza de publicar los datos de las víctimas.
El Servicio Nacional de Salud (NHS) del Reino Unido fue afectado por ataques. | AFP


• LockBit se centró en infraestructuras críticas y grandes grupos industriales, con demandas de rescate que oscilan entre 5,4 y 75,4 millones de dólares.
• Se la ha vinculado con ataques al correo y el Servicio Nacional de Salud británicos, el fabricante de aviones Boeing, el bufete internacional de abogados Allen and Overy y el banco más grande de China, el ICBC.
• En 2023, el grupo atacó a un hospital canadiense para niños, y en Francia a los hospitales de Corbeil Essonnes y Versalles en la región parisina.
• LockBit está considerado uno de los software maliciosos más activos del mundo, con más de 2.500 víctimas.

¿Cómo fue la operación para desarticular a LockBit?

• "Hemos hackeado a los hackers", dijo el director general de la NCA, Graeme Biggar, en la conferencia de prensa en Londres.
• Esto es porque los agentes policiales lograron infiltrarse en el grupo para desbaratarlo.
• Horas antes del anuncio, en la página principal de LockBit apareció el texto "este sitio está ahora bajo control policial", junto con las banderas del Reino Unido, Estados Unidos y otros países.
• El mensaje dice que el sitio está bajo control de la NCA británica "trabajando en estrecha cooperación con el FBI y la fuerza policial internacional Operación Cronos".
• En total participaron agencias de diez países: Reino Unido, Alemania, Francia, Países Bajos, Suecia, Suiza, Japón, Australia, Estados Unidos y Canadá, en coordinación con Europol. También hubo apoyo de las policías de Finlandia, Polonia, Nueva Zelanda y Ucrania.
• Las autoridades incautaron servidores que la pandilla utilizaba para organizar y transferir datos de víctimas y lograron acceso a un millar de herramientas de codificación.
Pantallazo con el anuncio de la "captura" del sitio de LockBit. | AFP


• También obtuvieron el código fuente de LockBit y a una cantidad de información sobre la gente con que trabajaba la pandilla.
• Según la fiscalía de París, la operación permitió "tomar el control de una parte importante de la infraestructura del software LockBit, incluido el 'darknet'", y la "Wall of Shame" (Muro de la Vergüenza) "donde se publicaban los datos de quienes se negaban a pagar el rescate".
• Según la NCA británica, más de 200 cuentas de criptomonedas relacionadas con el grupo fueron congeladas y los investigadores obtuvieron más de 1.000 claves necesarias para descifrar los datos con el fin de devolverlos a sus propietarios.
• Con este anuncio, son cinco los acusados en Estados Unidos desde que comenzó la operación.
• Tres rusos habían sido acusados. Dos de ellos están presos, uno en Canadá y otro en Estados Unidos. Los demás siguen prófugos.