Días después de que fuera Desconectado por una amplia operación policial que lleva años en desarrollo, el notorio grupo de ransomware LockBit con sede en Rusia ha regresado a la web oscura con un nuevo sitio de filtración completo con una serie de nuevas víctimas.
En una declaración detallada y dudosa publicada el sábado, el administrador restante de LockBit culpó a su propia negligencia por la interrupción de la semana pasada. Un esfuerzo mundial de aplicación de la ley lanzó una operación que secuestró la infraestructura de la banda de ransomware explotando una vulnerabilidad en los sitios web públicos de LockBit, incluido el sitio de filtración de la web oscura que la banda utilizó para publicar datos robados de las víctimas.
La “Operación Cronos”, como la denominaron los federales, también vio la caída de 34 servidores en Europa, el Reino Unido y los EE. UU., la incautación de más de 200 billeteras de criptomonedas y el arresto de dos presuntos miembros de LockBit en Polonia y Ucrania.
Apenas cinco días después, LockBit anunció que sus operaciones se habían reanudado, afirmando haberlas restaurado a partir de copias de seguridad que no se vieron afectadas por la eliminación del gobierno. En su declaración, el administrador de LockBit amenazó con tomar represalias diciendo que apuntaría al sector gubernamental.
Un portavoz de la Agencia Nacional contra el Crimen, que dirigió la Operación Cronos, dijo a TechCrunch el lunes después del regreso de LockBit que su operación de eliminación “se infiltró con éxito y tomó el control de los sistemas de LockBit, y pudo comprometer toda su operación criminal”.
“Sus sistemas han sido destruidos por la NCA y consideramos que LockBit sigue completamente comprometido”, dijo la NCA.
Las fuerzas del orden afirman tener una victoria abrumadora mientras el aparente cabecilla de LockBit sigue prófugo, amenazando con represalias y apuntando a nuevas víctimas los pone en desacuerdo, por ahora. Con más de una docena de nuevas víctimas reclamadas desde su descarado relanzamiento, la desaparición de LockBit podría haber sido exagerada.
A medida que avanza el juego del gato y el ratón entre los federales y los criminales, también avanzan los discursos de lucha y las audaces afirmaciones de ambos lados.
Si bien la NCA prometió una gran revelación del antiguo líder de la pandilla, que se conoce con el nombre de “LockBitSupp”, la agencia reveló poco sobre el administrador en una publicación en el sitio de filtración de la web oscura comprometida de LockBit el viernes.
“Sabemos quién es. Sabemos dónde vive. Sabemos cuánto vale. LockBitSupp se ha comprometido con las fuerzas del orden :)”, decía el mensaje de la NCA redactado vagamente.
Las agencias policiales estadounidenses también han ofrecido una recompensa multimillonaria por detalles “que conduzcan a la identificación o ubicación de cualquier individuo que ocupe una posición de liderazgo clave” en la pandilla LockBit, lo que sugiere que las autoridades no tienen esa información. o aún no puede probarlo.
Con el aparente administrador LockBitSupp todavía en acción (la última pieza restante del rompecabezas de LockBit), es poco probable que LockBit desaparezca. Se sabe que las bandas de ransomware se reagrupan y cambian de marca rápidamente incluso después de que la interrupción de la aplicación de la ley afirma haberlas eliminado para siempre.
Tomemos como ejemplo a otra banda de ransomware con sede en Rusia: ALPHV, también conocida como BlackCat, recibió el año pasado un golpe similar cuando las agencias de aplicación de la ley confiscaron su sitio de filtración en la web oscura y liberaron claves de descifrado para que las víctimas pudieran recuperar el acceso a los archivos robados. Apenas unos días después, la ALPHV anunció que había “desmantelado” su sitio de filtración y afirmó que el FBI sólo tenía claves de descifrado para unas 400 empresas, lo que dejó a más de 3.000 víctimas cuyos datos permanecen cifrados.
Al momento de escribir este artículo, el sitio de filtración de ALPHV sigue en funcionamiento y continúa agregando nuevas víctimas casi a diario.
Otras bandas de ransomware, como Hive y Conti, se han enfrentado a acciones policiales similares en los últimos años, pero se dice que simplemente cambiaron de nombre y se reformaron con nombres diferentes. Se dice que los miembros de Conti operan bajo los nuevos grupos Black Basta, BlackByte y Karakurt, mientras que los ex miembros de Hive se rebautizaron como una nueva operación de ransomware denominada Hunters International.
Es poco probable que la caída de LockBit, si bien muchos la consideran una de las más importantes de los últimos años, sea muy diferente, y las señales ya están ahí.
En su extensa publicación, LockBit afirmó que las fuerzas del orden solo obtuvieron un puñado de descifradores, arrestaron a las personas equivocadas y no lograron eliminar todos los sitios web bajo su control. LockBit también prometió que, a la luz de la operación, mejoraría la seguridad de su infraestructura, liberaría manualmente los descifradores y continuaría con su programa de afiliados.
“Ningún FBI con sus asistentes puede asustarme y detenerme, la estabilidad del servicio está garantizada por años de trabajo continuo”, continuó LockBit. “Quieren asustarme porque no pueden encontrarme y eliminarme, no me pueden detener”.
La NCA le dijo a TechCrunch que la agencia “reconoció que LockBit probablemente intentaría reagruparse y reconstruir sus sistemas”, pero reconoció que el trabajo de la agencia continúa perturbando al grupo.
“Hemos reunido una enorme cantidad de información de inteligencia sobre ellos y aquellos asociados con ellos, y nuestro trabajo para atacarlos y perturbarlos continúa”, dijo el portavoz de la NCA, Richard Crowe.
El reconocimiento por parte de las autoridades de que todavía están trabajando para desbaratar a la pandilla nos dice todo lo que necesitamos saber: LockBit aún no está muerto, y probablemente nunca lo estuvo.
