Les operacions de LockBit Ransomware Gang es tanquen amb arrests i acusacions
Les activitats il·lícites de la banda de ransomware LockBit s'han vist interrompuda significativament amb el recent anunci de l'Agència Nacional de Crims del Regne Unit (NCA). L'NCA va revelar que va adquirir amb èxit el codi font de LockBit i va recopilar informació sobre les seves operacions i grups associats a través de l'Operació Cronos, un grup de treball dedicat.
Una revelació important de l'NCA és que les dades trobades als sistemes de LockBit incloïen informació de víctimes que ja havien pagat un rescat, contradient les promeses fetes pels delinqüents d'eliminar aquestes dades. Això subratlla els riscos associats al compliment de les demandes de rescat.
A més, l'ANC va confirmar la detenció de dues persones connectades a LockBit a Polònia i Ucraïna. A més, s'han congelat més de 200 comptes de criptomoneda vinculats al grup i s'han descintat les acusacions als EUA contra dos nacionals russos suposadament implicats en atacs de LockBit.
Artur Sungatov i Ivan Gennadievich Kondratiev, coneguts com Bassterlord, han estat acusats d'haver desplegat LockBit contra nombroses víctimes, incloses empreses de diverses indústries als EUA i a tot el món. Kondratyev s'enfronta a càrrecs addicionals relacionats amb l'ús de la variant de ransomware Sodinokibi (REvil).
Les accions recents arriben després d'un esforç internacional per interrompre LockBit, descrit per l'NCA com un dels grups de ciberdelinqüència més nocius del món. Com a part de l'operació, l'agència va prendre el control dels serveis de LockBit i es va infiltrar en tota la seva xarxa criminal, inclosos els entorns d'administració d'afiliats i els llocs de filtracions de la web fosca.
A més, s'han desmantellat 34 servidors que pertanyen a filials de LockBit i les autoritats han recuperat més de 1.000 claus de desxifrat dels servidors confiscats. LockBit, que funciona des de finals del 2019, funciona amb un model de ransomware com a servei, donant llicències a xifradors als afiliats que executen atacs a canvi d'una part del rescat.
Els atacs de LockBit impliquen tàctiques d'extorsió doble, on les dades sensibles es roben abans del xifratge, afegint pressió a les víctimes perquè paguin per evitar la fuita de dades. El grup també ha experimentat amb l'extorsió triple, incorporant atacs DDoS juntament amb tàctiques de rescat tradicionals.
Eines personalitzades com StealBit faciliten l'exfiltració de dades, amb les autoritats que s'apoderen de la infraestructura utilitzada per organitzar i transferir les dades de les víctimes. Segons Eurojust i el DoJ, els atacs de LockBit han afectat més de 2.500 víctimes a tot el món, generant beneficis il·lícits que superen els 120 milions de dòlars.
El director general de l'NCA, Graeme Biggar, va posar èmfasi en l'èxit de l'esforç col·laboratiu per paralizar les operacions de LockBit, destacant l'adquisició de claus crucials per ajudar les víctimes a desxifrar els seus sistemes. També va advertir que, tot i que LockBit pot intentar reconstruir-se, les agències d'aplicació de la llei són conscients de la seva identitat i mètodes, cosa que indica un cop significatiu a la seva credibilitat i capacitats.