La operación permitió, según la fiscalía de París, "tomar el control de una parte importante de la infraestructura del software LockBit, incluido el 'darknet'", y la "Wall of Shame" (Muro de la Vergüenza) "donde se publicaban los datos de quienes se negaban a pagar el rescate".
Qué es Lockbit, a quiénes atacó y cómo
El grupo es experto en el ransomware, un tipo de ciberdelito que está en auge y, en Uruguay, es la que más creció en el último año, según datos del Centro de Respuestas a los Ataques Informáticos a El Observador.
Lo que hacen los atacantes es hackear la información y luego cifrar los archivos de una computadora o dispositivo, para finalmente exigir un rescate para desbloquearlos. Infiltrar (entrar al server), exfiltrar
En setiembre del año pasado, anunciaron que hackearon al estudio jurídico Guyer & Regules, y pidieron US$ 300 mil. Según comprobó El Observador, en la filtración aparecieron pasaportes, recibos de sueldos de terceras empresas y acuerdos de confidencialidad con clientes. Finalmente, el grupo eliminó la publicación y nunca se pudo confirmar si alguien pagó ese rescate.
Lockbit es un sofisticado grupo de cibercrimen que tiene más de 2.500 víctimas. En 2023, atacó al operador postal británico, a un hospital canadiense para niños, y en Francia a los hospitales de Corbeil Essonnes y Versalles en la región parisina, informó AFP. En Argentina, atentaron contra el sistema de venta de medicamentos con recetas de una red de farmacias, al ingenio azucarero más grande la región (Ingenios Ledesma) y a la mutualista más importante (OSDE).
Han llegado a pedir hasta US$ 7,5 millones por rescates. Y tenían una lista interminable de grupos que atacaron y pedían dinero, según comprobó El Observador.
¿Cómo opera Lockbit?
La deep web es una parte de internet que no es accesible a través de buscadores tradicionales, como Google, ya que no está indexada. Requiere de un navegador específico, como Tor, para acceder a ella de forma anónima.
Mauro Eldritch, analista de amenazas de Birmingham Cyber Arms, aseguró que desmantelaron "parte de la infraestructura" ."Los miembros más importantes siguen prófugos y muy probablemente en países sin extradición como Rusia", aclaró, según una investigación que realizó sobre el episodio.
En el mundo del cibercrimen se conoce que una persona de nombre Supp es el administrador de Lockbit. Tras el anuncio de la NCA, aseguró que está prófugo y que no lo atraparon. También buscan a otros integrantes.
Qué encontró la policía
Lo que lograron capturar los policías a nivel internacional fueron los servidores de Lockbit y acceso a información crítica del grupo. Por ejemplo, conversaciones. En esos chats aparecen las negociaciones con sus víctimas, un eslabón clave de la cadena del ransomware. Es tal como se ve en esta captura:
También detectaron que para Lockbit trabajan "afiliados". Son usuarios que tienen que tener un perfil criminal muy conocido en foros específicos dentro de la dark web. Y para meterse en este mundo deben tener a alguien que los "vouchee". Significa que alguien que los presente y "dé garantías que son confiables para trabajar", explicó Eldritch.
Pero no termina ahí su acceso al grupo: luego de que lo aprueben deben tener un determinado rendimiento en los primeros meses para poder permanecer.
Los policías encontraron que estos afiliados se dedicaban a encontrar vulnerabilidades en sitios web e infraestructura de compañías. Luego de encontrarlas usaban una herramienta dentro del sitio de la dark web de Lockbit llamado "builders".
Es una suerte de formulario donde los afiliados explican cómo se debe realizar un ciberataque. Por ejemplo, si es un estudio jurídico le dicen a Lockbit que indague muchos PDF. Luego de que rellenan el formulario el sistema arroja automáticamente un ejecutable para pegarle a la víctima. En la siguiente captura, a la que accedió El Observador, se puede ver cómo es ese formulario.
¿Las burlas de los policías al grupo hackeado?
La web de Lockbit cuenta con un panel donde están publicados todas las empresas y organismos que fueron atacados. Están acompañados de una descripción y una cuenta regresiva que indica cuánto tiempo resta para que la víctima pague su rescate o de lo contrario publicarían todos sus datos en la red. Así lucía en setiembre el que publicaban de Guyer y amenazaban con la publicación completa si no pagaban el rescate:
Como dijeron los policías: "Hackearon a los hackers". Y en vez de la lista de víctimas que aparecen, los integrantes de la operación policial se burlaron del grupo de ciberdelincuentes.
Así fue que colocaron un panel que dice: "¿Quién es LockbitSupp?" y tiene una cuenta regresiva que figura que el viernes podrían revelarlo. Se supone que deberían publicar quién está detrás del seudónimo que administra este grupo poderoso de ciberdelincuentes. La siguiente captura muestra cómo se ve el sitio "hackeado" por los policías:
Según Supp, nunca fue atrapado ni saben quién es. "Que lo revelen, estoy seguro de que no conocen mi identidad", dijo Supp a la cuenta VX Underground, un respetado grupo que investiga la ciberdelincuencia en el mundo, y que tiene la biblioteca de malware más grande de internet.
En el mundo de la ciberseguridad se cree que los policías tiran este tipo de publicaciones para ver si los ciberdelincuentes cometen algún error y dan alguna pista que ayude a encontrar su paradero.
Y es raro que amenacen con dar a conocer su identidad cuando el FBI ofrecía US$ 10 millones a quienes pudieran dar información que condujera "a la identificación o ubicación de cualquier persona que ocupe una posición de liderazgo en el grupo".
La respuesta de Lockbit
Tras el golpe al grupo, los ciberdelincuentes no se quedaron quietos. Como suele suceder en el mundo del cibercrimen, los atacantes tienen planes de contingencia.
Según Eldritch, suelen tener infraestructura "dormida" que está preparada y configurada pero no está en uso. "Cuando se confirma que todos los miembros de confianza de esa operación están bien y en contacto en un canal seguro, migran todo a esa infraestructura nueva", apuntó.
La empresa Birmingham Cyber Arms, en la que trabaja Eldritch, supo que Lockbit montó una nueva web donde aparece la información de las víctimas. Es como se ve en la siguiente captura:
BratvaCorp, una persona conocida en el mundo del ransomware y en los foros donde se habla de ciberdelincuencia, reveló un mensaje en ruso escrito por el líder de Lockbit en una conversación que ambos mantuvieron. "Voy a dar una una declaración pública en un nuevo blog. Podés compartirlo públicamente, soy un imbécil porque no actualicé PHP y esto es todo mi culpa. Tenía la versión 8.1.2 y por eso me robaron dos servers", indicó.
Los ciberdelincuentes siempre la rebuscan para burlarse de anuncios grandilocuentes con bombos y platillos de que los atraparon. Más capítulos están por escribirse.
