Operación conjunta Cronos, interrumpe actividades del Ransomware LockBit

La Operación Cronos es una acción conjunta llevada a cabo por agencias policiales de 10 países con el objetivo de interrumpir y desmantelar la operación más grande de ransomware registrada hasta el momento, LockBit. Esta operación ha sido coordinada principalmente por la Agencia Nacional contra el Crimen del Reino Unido, en estrecha colaboración con el FBI y el grupo de trabajo internacional de aplicación de la ley de la Operación Cronos. Su objetivo principal es tomar el control de los activos y la infraestructura utilizados por los operadores de LockBit, así como recopilar información vital relacionada con las actividades del grupo y sus afiliados.

En esta operación participaron autoridades de 11 países: Australia, Canadá, Finlandia, Francia, Alemania, Japón, Países Bajos, Suecia, Suiza, Reino Unido y Estados Unidos, junto con Europol.

Ilustración 1: Banner dejado por The National Crime Agency of the UK, en sitio TOR de Lockbit
Fuente: Red TOR

Actividades de LockBit

• La operación de ransomware LockBit, gestionada por un actor de amenazas conocido como LockBitSupp, comenzó a operar en septiembre de 2019.
• Desde su inicio, LockBit ha atacado una amplia gama de organizaciones de alto perfil en todo el mundo, buscando cifrar sus datos y extorsionar a cambio de su liberación.
• LockBit opera como un servicio de ransomware-as-a-service (RaaS), lo que significa que permite a los afiliados realizar ataques de ransomware utilizando su infraestructura y herramientas a cambio de una parte de los beneficios obtenidos.
• LockBit ha evolucionado a lo largo del tiempo, desde su aparición en septiembre de 2019 como LockBit 1.0 RaaS hasta la versión más reciente, LockBit 3.0, que presenta mejoras notables y tácticas de extorsión innovadoras. 

Víctimas más relevantes

LockBit desde el 2020 ha sido una de las operaciones de Ransomware más efectivas en cuanto a su alcance y afectación a víctimas a nivel mundial. Se estima que ha extorsionado aproximadamente en 120 millones de dólares a través de más de 2.500 ataques exitosos publicados en su foro de la red TOR.

Al ser un grupo que trabaja prestando un servicio de RaaS (Ransomware as a Service) sus afiliados han afectado a una amplia gama de sectores, entre los que destacan los servicios financieros, alimentación, agricultura, educación, energía, servicios gubernamentales, servicios de emergencia, atención médica, manufactura y transporte.

Algunas de las víctimas de alto perfil incluyen el gigante automovilístico Continental, el Servicio de Impuestos Internos italiano, el Royal Mail del Reino Unido, la ciudad de Oakland y el Bank of America (a través de su proveedor de servicios Infosys McCamish Systems).

Detalles de la operación Cronos

El grupo de investigación de malware VX-Underground anunció en un mensaje  publicado en X (anteriormente Twitter) que los sitios web asociados con LockBit fueron eliminados mediante la explotación de una vulnerabilidad crítica de seguridad que afecta a PHP (CVE-2023-3824, puntuación CVSS: 9.8), lo que podría permitir la ejecución remota de código. Esta vulnerabilidad crítica proporcionó a las agencias de ciberseguridad una ventana de oportunidad para intervenir y tomar medidas contra la infraestructura de LockBit.

Ilustración 2: Mensaje en X con explotación CVE-2023-3824 contra LockBit
Fuente: X

Además de eliminar los sitios web, las agencias de ciberseguridad dejaron una nota en el panel de afiliados de LockBit, donde afirmaron estar en posesión del "código fuente, detalles de las víctimas que han atacado, la cantidad de dinero extorsionado, los datos robados, chats y mucho, mucho más". Este mensaje revela la amplitud de la información obtenida por las autoridades, lo que sugiere un golpe significativo contra LockBit y sus operaciones.

Ilustración 3: Estado actual sitio LockBit red TOR
Fuente: Red Tor (Onion)

Comunicado a los afiliados

Por otra parte, también se han observado comunicados que dicen provenir desde el centro de soporte de Lockbit, refiriendo que la identidad de los afiliados aún se encuentra protegida en servidores que no utilizan PHP (vulnerable), y que por favor los afiliados se comuniquen a ciertos canales de contacto para proveerles un servicio gratuito durante 1 año para su protección de identidad , sin embargo tras analizar el comunicado, se refieren a sus pares como  “cibercriminales”, conceptos escasa o nulamente ocupada entre los actores debido a que no se consideran de esa forma.

Este llamado junto con puntos de sospecha, podrían ser una herramienta de ingeniería social para que los afiliados que no se han podido perfilar, se comuniquen a los contactos entregados para así poder obtener información detallada de ellos.

Mientras que por otra parte, si el comunicado llega a ser real, daría cuenta de las capacidades técnicas y de infraestructura que poseen los actores, capaces de aun prestar servicios  de protección a sus afiliados, para evitar un impacto mayor en la organización, pese a que se encuentran siendo activamente investigados.

Ilustración 4: Mensaje enviado por operadores de LockBit a sus afiliados
Fuente: X

Claves de descifrado

Ilustración 5: Claves de descifrado para víctimas de LockBit 
Fuente: X

Adicionalmente las fuerzas de orden, mediante la captura de los servidores web de LockBit han publicado diferentes comunicados hacia los afectados de este ransomware, ofreciendo ayuda a las víctimas para otorgarle las claves de descifrado de sus infraestructura de forma gratuita, lo cual demuestra el real grado de compromiso del grupo de ciberactores, ya que al capturar el código fuente y las claves de descifrado, estas serán muy probablemente utilizadas para realizar contrainteligencia  y así llegar hasta los responsables, lo cual inevitablemente causará que si LockBit desea seguir operando, deberá realizar un cambio completo de todos sus TTPs y códigos fuente, ya sea para desligarse de operaciones anteriores, o para reestructurar sus operaciones, sin embargo, entendiendo que la Inteligencia Artificial ha sido de gran aporte para actores maliciosos, podría ser útil para crear nuevas campañas y herramientas en tiempos record.

Órdenes de arresto integrantes LockBit

Las fuerzas del orden arrestaron a dos operadores de la banda de ransomware LockBit en Polonia y Ucrania. Además, se creó una herramienta de descifrado para recuperar archivos cifrados de forma gratuita y se confiscaron más de 200 criptomonederos al intervenir los servidores de la banda de ciberdelincuentes.

Las autoridades judiciales de Francia y Estados Unidos emitieron tres órdenes de arresto internacionales y cinco acusaciones adicionales contra otros actores relacionados con LockBit. En particular, el Departamento de Justicia de Estados Unidos presentó cargos contra dos ciudadanos rusos, Artur Sungatov e Ivan Gennadievich Kondratiev (alias Bassterlord), por su participación en los ataques LockBit.

Comunicado del Departamento de Justicia de EE.UU

El siguiente video posee un comunicado del Departamento de Justicia de Estados Unidos, con más detalles de la operación conjunta y la interrupción de LockBit:
Enlace video: https://youtu.be/-jKykhKKMZw

Apreciación

La interrupción de la operación de ransomware LockBit y la exitosa ejecución de la Operación Cronos representan un logro significativo en la lucha contra el cibercrimen a nivel mundial. LockBit, ha sido un peligroso grupo de ransomware que ha causado estragos en organizaciones de diversos sectores durante años, extorsionando millones de dólares y causando daños significativos a la infraestructura y la reputación de sus víctimas.

La Operación Cronos destaca por la colaboración entre agencias policiales de 10 países, ha demostrado la efectividad de la cooperación internacional en la lucha contra las amenazas cibernéticas. Al tomar medidas coordinadas para interrumpir la infraestructura de LockBit y obtener acceso a información crucial, las autoridades han enviado un mensaje claro de que el cibercrimen no será tolerado y que aquellos que se involucren en actividades ilícitas se enfrentarán a severas consecuencias.

Sin embargo, este éxito no debe llevar a la complacencia. La amenaza del ransomware persiste y continuará evolucionando. Es fundamental que las organizaciones refuercen sus defensas cibernéticas, implementen mejores prácticas de seguridad y mantengan la vigilancia contra posibles ataques o el resurgimiento de nuevos grupos de ciberactores. Además, la cooperación internacional y la coordinación entre las agencias de ciberseguridad, la policía y los expertos en seguridad cibernética seguirán siendo fundamentales en la lucha continua contra los ciber actores de amenaza.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• No abrir archivos de Microsoft Office que contengan MACROS hasta obtener confirmación del remitente y verificar que el envío sea bajo estrictas políticas de seguridad como por ejemplo: archivo cifrado, contraseña enviada por otro medio, contacto directo con el remitente.
• Utilizar el principio de menor privilegio, que trata de dividir el uso del sistema en dos cuentas, una estándar para uso diario que incluya las mínimas funciones posibles y otra cuenta de administrador que permita acceder al núcleo de su dispositivo.
• Tener atención y evitar extensiones como “exe”, “vbs” y “scr”. Es necesario vigilar este tipo de archivos, ya que podrían ser peligrosos. Un atacante podría utilizar diversas extensiones para enmascarar archivos maliciosos como un vídeo, foto, o un documento como: (reporte-clientes.doc.scr).
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.