Es el grupo de ransomware “más prolífico y peligroso” del mundo, según Europol. Visto por primera vez en 2019, el grupo de hackers de habla rusa Lockbit supuestamente recaudó alrededor de 91 millones de dólares en rescates en total. Su sitio principal fue desmantelado por las fuerzas del orden el 19 de febrero durante la Operación Cronos, una ofensiva liderada por 11 países, entre ellos el Reino Unido, Estados Unidos, Japón, Alemania y también Francia.
«Este sitio está ahora bajo control policial», dice un mensaje en la página de inicio, precisando que la Agencia Británica contra el Crimen Organizado (NCA) ha tomado el control, en cooperación con Europol, el FBI estadounidense y agencias de varios países, incluida la Agencia Nacional. Unidad Cibernética de Gendarmería Nacional.
En Francia, el grupo atacó en particular el hospital de Corbeil-Essonnes en 2022, exigiendo un millón de dólares para no publicar su información sensible. Entre las otras víctimas: La Poste Mobile, el departamento de Loiret o una filial del grupo Thalès, lo que lo convierte en un jefe a matar.
Europol explica en un comunicado de prensa que «perturbó las operaciones criminales de LockBit en todos los niveles, dañando gravemente su capacidad y credibilidad». La organización policial internacional habla de una «operación que duró varios meses» y que permitió desmantelar 34 servidores en varios países y detener a dos actores del grupo, «detenidos a petición de las autoridades judiciales francesas» en Polonia y Ucrania.
Las autoridades francesas y estadounidenses también emitieron tres órdenes de detención internacionales y cinco acusaciones. Se han congelado más de 200 carteras de criptomonedas vinculadas a LockBit y se han cerrado 14.000 cuentas «no autorizadas».
Las autoridades británicas afirman en un comunicado de prensa haber obtenido el código fuente de la plataforma LockBit, amplia información sobre el grupo y también anuncian que han tomado el control del software que permite a los afiliados de LockBit llevar a cabo sus ataques.
En su sitio principal, los piratas informáticos habían establecido el “muro de la vergüenza”, donde publicaron los nombres de sus víctimas, revelaron el monto del rescate y publicaron los datos robados.
El grupo de hackers se especializa en ataques de «ransomware». Se infiltra en el sistema, cifra y bloquea datos para exigir un rescate por no revelarlos. Si la víctima no paga la cantidad requerida, todos los archivos se publican en línea o se revenden. En noviembre de 2022, el Departamento de Justicia de EE. UU. calificó al ransomware LockBit como “la variante más activa y destructiva del mundo”. En Francia, el grupo fue el origen del 27% de las solicitudes de rescate en 2022 y 2023 y la Agencia Nacional de Seguridad de los Sistemas de Información (Anssi) tramitó 69 hackeos que se le atribuyen.
Leer tambiénCiberseguridad: año récord para el ransomware, que atormenta a las empresas globales
Estos piratas informáticos están acostumbrados a atacar infraestructuras críticas y grandes grupos industriales, con demandas de rescate que oscilan entre 5 y 70 millones de euros. En el extranjero, Lockbit atacó en particular en 2023 al Royal Mail (la oficina de correos británica), al proveedor alemán de automóviles Continental, a la administración de California e incluso a la cadena de sándwiches estadounidense Subway.
Sin embargo, tenga cuidado de no cantar victoria demasiado rápido: en Tenga en cuenta que incluso si su sitio principal está fuera de línea, las operaciones de ransomware de LockBit pueden continuar y otros sitios subsidiarios siguen siendo accesibles.
Lea también Dark Web, redes cifradas y ransomware: sumergiéndose en el oscuro mundo de los rastreadores de ciberdelincuentes
Muchos grupos de hackers supuestamente han sido “desmantelados” en los últimos años y han resurgido rápidamente. Cuando se corta una cabeza, otras vuelven a crecer con la misma rapidez. Sobre todo porque algunos de estos piratas suelen residir en Rusia y, por tanto, permanecen a salvo de las fuerzas policiales que los buscan. Otros son hackers independientes “afiliados” que utilizan el software de Lockbit pagándoles un porcentaje de los rescates obtenidos. Por tanto, son más difíciles de identificar y pueden residir en cualquier parte del mundo.
La exposición mediática, las operaciones encubiertas y la notoriedad de la que hoy goza LockBit en el mundo del cibercrimen la han “transformado en una verdadera empresa criminal, con sus administradores, hackers que alquilan el software, servicios de negociación y comunicación”, como otros grupos, como detalla el medio especializado Numerama. En un memorando conjunto, las agencias de ciberdelincuencia señalaron que LockBit era responsable del 16% al 27% de las demandas de rescate, según el país.
Actualmente, «una gran cantidad de datos recopilados a lo largo de la investigación están ahora en posesión de las fuerzas del orden», señala Europol. Para ayudar a las víctimas de LockBit, las autoridades de los países involucrados en la Operación Cronos han puesto a disposición herramientas de descifrado para recuperar datos dañados por los ataques. Están disponibles en el portal No More Ransom.