Ciberseguridad 360 | Arrestan a miembros del ransomware LockBit y publican claves de descifrado

La Agencia Nacional contra la Delincuencia del Reino Unido (NCA) confirm� el martes que hab�a obtenido el c�digo fuente de LockBit, as� como informaci�n sobre sus actividades y las de sus afiliados, en el marco de un grupo de trabajo espec�fico denominado Operaci�n Cronos.

"Algunos de los datos de los sistemas de LockBit pertenec�an a v�ctimas que hab�an pagado un rescate a los actores de la amenaza, lo que demuestra que incluso cuando se paga un rescate, no garantiza que los datos se eliminen, a pesar de lo que los delincuentes hayan prometido", declar� la agencia.

Tambi�n anunci� la detenci�n de dos actores de LockBit en Polonia y Ucrania. Se han congelado m�s de 200 cuentas de criptomoneda vinculadas al grupo. Tambi�n se han presentado cargos en Estados Unidos contra otros dos ciudadanos rusos que presuntamente han llevado a cabo ataques contra LockBit.

Artur Sungatov e Ivan Gennadievich Kondratiev (alias Bassterlord) han sido acusados de utilizar LockBit contra numerosas v�ctimas en Estados Unidos, incluidas empresas de todo el pa�s del sector manufacturero y de otros sectores, as� como v�ctimas de todo el mundo del sector de los semiconductores y de otros sectores, seg�n el Departamento de Justicia de Estados Unidos (DoJ).

Kondratyev tambi�n ha sido acusado de tres cargos penales derivados de su uso de la variante de ransomware Sodinokibi, tambi�n conocida como REvil, para cifrar datos, filtrar informaci�n de la v�ctima y extorsionar el pago de un rescate de una v�ctima corporativa con sede en el condado de Alameda, California.

El hecho se produce tras una campa�a internacional de desarticulaci�n contra LockBit, que la NCA describi� como "el grupo de ciberdelincuencia m�s da�ino del mundo".

Como parte de los esfuerzos de desmantelamiento, la agencia dijo que tom� el control de los servicios de LockBit y se infiltr� en toda su empresa criminal. Esto incluye el entorno de administraci�n utilizado por los afiliados y el sitio de filtraciones de cara al p�blico alojado en la dark web.

Adem�s, tambi�n se han desmantelado 34 servidores pertenecientes a afiliados de LockBit y se han recuperado m�s de 1.000 claves de descifrado de los servidores de LockBit confiscados.

LockBit, desde su debut a finales de 2019, ejecuta un esquema de ransomware como servicio (RaaS) en el que los cifradores se licencian a afiliados, que llevan a cabo los ataques a cambio de una parte de los ingresos del rescate.

Los ataques siguen una t�ctica llamada doble extorsi�n para robar datos confidenciales antes de cifrarlos, y los actores de la amenaza presionan a las v�ctimas para que realicen un pago con el fin de descifrar sus archivos y evitar que sus datos se publiquen.

"El grupo de ransomware tambi�n es infame por experimentar con nuevos m�todos para presionar a sus v�ctimas para que paguen rescates", dijo Europol.

"La triple extorsi�n es uno de estos m�todos que incluye los m�todos tradicionales de cifrar los datos de la v�ctima y amenazar con filtrarlos, pero tambi�n incorpora ataques de denegaci�n de servicio distribuido (DDoS) como una capa adicional de presi�n."

El robo de datos se facilita mediante una herramienta de exfiltraci�n de datos personalizada cuyo nombre en c�digo es StealBit. La infraestructura, que se utilizaba para organizar y transferir los datos de las v�ctimas, ha sido incautada por las autoridades de tres pa�ses, entre ellos Estados Unidos.

Seg�n Eurojust y el DoJ, se cree que los ataques de LockBit han afectado a m�s de 2.500 v�ctimas en todo el mundo y han reportado m�s de 120 millones de d�lares en beneficios il�citos. No More Ransom tambi�n ha puesto a disposici�n de los usuarios una herramienta de descifrado que permite recuperar gratuitamente los archivos cifrados por el ransomware.

"Gracias a nuestra estrecha colaboraci�n, hemos hackeado a los piratas inform�ticos, tomado el control de su infraestructura, confiscado su c�digo fuente y obtenido las claves que ayudar�n a las v�ctimas a descifrar sus sistemas", declar� el Director General de la NCA, Graeme Biggar.

"A partir de hoy, LockBit est� bloqueado. Hemos da�ado la capacidad y, sobre todo, la credibilidad de un grupo que depend�a del secretismo y el anonimato. LockBit puede intentar reconstruir su empresa criminal. Sin embargo, sabemos qui�nes son y c�mo operan".

Fuente: thehackernews.com