La Operación Cronos es una acción conjunta llevada a cabo por agencias policiales de 10 países con el objetivo de interrumpir y desmantelar la operación más grande de ransomware registrada hasta el momento, LockBit. Esta operación ha sido coordinada principalmente por la Agencia Nacional contra el Crimen del Reino Unido, en estrecha colaboración con el FBI y el grupo de trabajo internacional de aplicación de la ley de la Operación Cronos. Su objetivo principal es tomar el control de los activos y la infraestructura utilizados por los operadores de LockBit, así como recopilar información vital relacionada con las actividades del grupo y sus afiliados.
En esta operación participaron autoridades de 11 países: Australia, Canadá, Finlandia, Francia, Alemania, Japón, Países Bajos, Suecia, Suiza, Reino Unido y Estados Unidos, junto con Europol.
Ilustración 1: Banner dejado por The National Crime Agency of the UK, en sitio TOR de Lockbit
Fuente: Red TOR
Actividades de LockBit
Víctimas más relevantes
LockBit desde el 2020 ha sido una de las operaciones de Ransomware más efectivas en cuanto a su alcance y afectación a víctimas a nivel mundial. Se estima que ha extorsionado aproximadamente en 120 millones de dólares a través de más de 2.500 ataques exitosos publicados en su foro de la red TOR.
Al ser un grupo que trabaja prestando un servicio de RaaS (Ransomware as a Service) sus afiliados han afectado a una amplia gama de sectores, entre los que destacan los servicios financieros, alimentación, agricultura, educación, energía, servicios gubernamentales, servicios de emergencia, atención médica, manufactura y transporte.
Algunas de las víctimas de alto perfil incluyen el gigante automovilístico Continental, el Servicio de Impuestos Internos italiano, el Royal Mail del Reino Unido, la ciudad de Oakland y el Bank of America (a través de su proveedor de servicios Infosys McCamish Systems).
Detalles de la operación Cronos
El grupo de investigación de malware VX-Underground anunció en un mensaje publicado en X (anteriormente Twitter) que los sitios web asociados con LockBit fueron eliminados mediante la explotación de una vulnerabilidad crítica de seguridad que afecta a PHP (CVE-2023-3824, puntuación CVSS: 9.8), lo que podría permitir la ejecución remota de código. Esta vulnerabilidad crítica proporcionó a las agencias de ciberseguridad una ventana de oportunidad para intervenir y tomar medidas contra la infraestructura de LockBit.
Ilustración 2: Mensaje en X con explotación CVE-2023-3824 contra LockBit
Fuente: X
Además de eliminar los sitios web, las agencias de ciberseguridad dejaron una nota en el panel de afiliados de LockBit, donde afirmaron estar en posesión del "código fuente, detalles de las víctimas que han atacado, la cantidad de dinero extorsionado, los datos robados, chats y mucho, mucho más". Este mensaje revela la amplitud de la información obtenida por las autoridades, lo que sugiere un golpe significativo contra LockBit y sus operaciones.
Ilustración 3: Estado actual sitio LockBit red TOR
Fuente: Red Tor (Onion)
Comunicado a los afiliados
Por otra parte, también se han observado comunicados que dicen provenir desde el centro de soporte de Lockbit, refiriendo que la identidad de los afiliados aún se encuentra protegida en servidores que no utilizan PHP (vulnerable), y que por favor los afiliados se comuniquen a ciertos canales de contacto para proveerles un servicio gratuito durante 1 año para su protección de identidad , sin embargo tras analizar el comunicado, se refieren a sus pares como “cibercriminales”, conceptos escasa o nulamente ocupada entre los actores debido a que no se consideran de esa forma.
Este llamado junto con puntos de sospecha, podrían ser una herramienta de ingeniería social para que los afiliados que no se han podido perfilar, se comuniquen a los contactos entregados para así poder obtener información detallada de ellos.
Mientras que por otra parte, si el comunicado llega a ser real, daría cuenta de las capacidades técnicas y de infraestructura que poseen los actores, capaces de aun prestar servicios de protección a sus afiliados, para evitar un impacto mayor en la organización, pese a que se encuentran siendo activamente investigados.
Ilustración 4: Mensaje enviado por operadores de LockBit a sus afiliados
Fuente: X
Claves de descifrado
Ilustración 5: Claves de descifrado para víctimas de LockBit
Fuente: X
Adicionalmente las fuerzas de orden, mediante la captura de los servidores web de LockBit han publicado diferentes comunicados hacia los afectados de este ransomware, ofreciendo ayuda a las víctimas para otorgarle las claves de descifrado de sus infraestructura de forma gratuita, lo cual demuestra el real grado de compromiso del grupo de ciberactores, ya que al capturar el código fuente y las claves de descifrado, estas serán muy probablemente utilizadas para realizar contrainteligencia y así llegar hasta los responsables, lo cual inevitablemente causará que si LockBit desea seguir operando, deberá realizar un cambio completo de todos sus TTPs y códigos fuente, ya sea para desligarse de operaciones anteriores, o para reestructurar sus operaciones, sin embargo, entendiendo que la Inteligencia Artificial ha sido de gran aporte para actores maliciosos, podría ser útil para crear nuevas campañas y herramientas en tiempos record.
Órdenes de arresto integrantes LockBit
Las fuerzas del orden arrestaron a dos operadores de la banda de ransomware LockBit en Polonia y Ucrania. Además, se creó una herramienta de descifrado para recuperar archivos cifrados de forma gratuita y se confiscaron más de 200 criptomonederos al intervenir los servidores de la banda de ciberdelincuentes.
Las autoridades judiciales de Francia y Estados Unidos emitieron tres órdenes de arresto internacionales y cinco acusaciones adicionales contra otros actores relacionados con LockBit. En particular, el Departamento de Justicia de Estados Unidos presentó cargos contra dos ciudadanos rusos, Artur Sungatov e Ivan Gennadievich Kondratiev (alias Bassterlord), por su participación en los ataques LockBit.
Comunicado del Departamento de Justicia de EE.UU
El siguiente video posee un comunicado del Departamento de Justicia de Estados Unidos, con más detalles de la operación conjunta y la interrupción de LockBit:
Enlace video: https://youtu.be/-jKykhKKMZw
Apreciación
La interrupción de la operación de ransomware LockBit y la exitosa ejecución de la Operación Cronos representan un logro significativo en la lucha contra el cibercrimen a nivel mundial. LockBit, ha sido un peligroso grupo de ransomware que ha causado estragos en organizaciones de diversos sectores durante años, extorsionando millones de dólares y causando daños significativos a la infraestructura y la reputación de sus víctimas.
La Operación Cronos destaca por la colaboración entre agencias policiales de 10 países, ha demostrado la efectividad de la cooperación internacional en la lucha contra las amenazas cibernéticas. Al tomar medidas coordinadas para interrumpir la infraestructura de LockBit y obtener acceso a información crucial, las autoridades han enviado un mensaje claro de que el cibercrimen no será tolerado y que aquellos que se involucren en actividades ilícitas se enfrentarán a severas consecuencias.
Sin embargo, este éxito no debe llevar a la complacencia. La amenaza del ransomware persiste y continuará evolucionando. Es fundamental que las organizaciones refuercen sus defensas cibernéticas, implementen mejores prácticas de seguridad y mantengan la vigilancia contra posibles ataques o el resurgimiento de nuevos grupos de ciberactores. Además, la cooperación internacional y la coordinación entre las agencias de ciberseguridad, la policía y los expertos en seguridad cibernética seguirán siendo fundamentales en la lucha continua contra los ciber actores de amenaza.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: