![\"\"](\"https:\/\/beaconlab.us\/wp-content\/uploads\/2024\/02\/figure_1_-_anssi-observed_lockbit_strains_by_year-300x300.png\")
![\"\"](\"https:\/\/beaconlab.us\/wp-content\/uploads\/2024\/02\/figure_2_-_alleged_number_of_victims_worldwide_on_lockbit_leak_sites-300x99.png\")
<\/p>\nEl d\u00eda de ayer se llev\u00f3 a cabo una operaci\u00f3n internacional coordinada entre organismos gubernamentales de Estados Unidos, Gran Breta\u00f1a, Europol y aliados de 10 pa\u00edses, que permiti\u00f3 tumbar una parte importante de la infraestructura de la banda de ransomware Lockbit, la cual \u00a0fue denominada como Cronos. En dicha operaci\u00f3n, las fuerzas del orden fueron capaces de tomar el control de 34 servidores, entre ellos, el que alojaba el portal de negociaci\u00f3n con las v\u00edctimas, adem\u00e1s congelar m\u00e1s de 200 cuentas o billeteras de criptomoneadas utilizadas para obtener dinero de las v\u00edctimas, tambi\u00e9n se sumaron varios arrestos concretados y otros en curso.<\/p>\n
Lockbit es una de las bandas de ransomware m\u00e1s activas, con la mayor cantidad de v\u00edctimas conocidas en todo el mundo, afectando a empresas de todos los tama\u00f1os, muchas de esas empresas v\u00edctimas son de M\u00e9xico. Cabe destacar que pr\u00e1cticamente todas las estad\u00edsticas publicadas, hasta el momento, se basaban en los datos p\u00fablicos del portal de Lockbit y\/o de aquellas v\u00edctimas que reportaban los ataques, por lo que es posible que el n\u00famero real del impacto sea mucho mayor. De acuerdo a su portal, ten\u00edan una cuota de alrededor del 25% del mercado de ransomware, seguido por AlphV\/BlackCat con alrededor del 8,5%.<\/p>\n
Se trata de un programa del tipo Ransomware-como-Servicio (RaaS), surgido en Enero del 2020. Se hab\u00eda lanzado el servicio con LockBit 1.0, pero desde all\u00ed hab\u00edan lanzado versiones nuevas conocidas como LockBit 2.0 (LockBit Red), LockBit 3.0 (LockBit Black), LockBit Linux\/ESXI, LockBit Green e incluso ya estaban trabajando en el desarrollo del \u00faltimo lanzamiento LockBit 4.0. Es una de las bandas pioneras en abordar el ransomware como una oportunidad de negocio global y que aline\u00f3 sus operaciones de manera escalable a trav\u00e9s de afiliados, con un ritmo de crecimiento exponencial que permiti\u00f3 generar un impacto enorme, mediante la interrupci\u00f3n de miles de negocios y causando enormes p\u00e9rdidas financieras, directa o indirectamente, as\u00ed como un impacto negativo en las vidas de much\u00edsimos afectados. Se estima que las ganancias del grupo criminal superan los 90 millones de USD.<\/p>\n
<\/p>\n
En cuanto a las t\u00e1cticas, t\u00e9cnicas y herramientas (TTPs) de Lockbit y sus afiliados, sus vectores de acceso inicial a las redes de las v\u00edctimas eran diversos y depend\u00eda de cada afiliado, por lo general, explotaban vulnerabilidades conocidas de dispositivos expuestos a Internet – como Router de borde o Firewall de distintos proveedores – para posteriormente infiltrarse hacia los sistemas internos de la red. Las principales vulnerabilidades que se conoce que han sido explotadas por la banda son:<\/p>\n
Al igual que muchas de las bandas de ransomware actuales, una vez comprometido el primer equipo de la red, buscan utilizar herramientas conocidas y, aparentemente confiables, que a veces incluso ya est\u00e1n presentes en los equipos de la v\u00edctima, ya que tambi\u00e9n son utilizados por el equipo de TI en funciones administrativas, tales como TeamViewer, AnyDesk, FileZilla, WinSCP, RClone, PuTTY, Microsoft Sysinternals PsExec, MEGA Sync, Advanced-IPScanner, etc. Esta t\u00e1ctica se conoce como \u201cLiving-off-the-Land\u201d (LotL), que hoy en d\u00eda supone una de las mayores dificultades para los expertos de ciberseguridad, debido a que estos procesos y herramientas pueden camuflarse como actividad leg\u00edtima y pasan desapercibidos a\u00fan para los equipos de monitoreo.<\/p>\n
De acuerdo a la \u00a0informaci\u00f3n extraoficial, proveniente de los propios operadores de Lockbit, las fuerzas del orden aprovecharon una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo (RCE) en PHP 8.0.* – \u00a0CVE-2023-3824 – una vulnerabilidad de stack buffer overflow (desbordamiento de pila) que afectaba a su portal. Habiendo tomado el control de la infraestructura, las fuerzas del orden pudieron obtener una mirada interna de los portales de operaciones y negociaci\u00f3n de la banda. Varios de estos sitios fueron publicadas por las fuerzas del orden , de manera a entender y estudiar la din\u00e1mica del cibercrimen.<\/p>\n
![\"\"](\"https:\/\/beaconlab.us\/wp-content\/uploads\/2024\/02\/GGxwXkhXAAAeXAH-300x258.jpg\")
![\"\"](\"https:\/\/beaconlab.us\/wp-content\/uploads\/2024\/02\/GGxwYPBWsAA-Swc-300x258.jpg\")
<\/p>\n
Entre otras cosas, se pudo evidenciar que los criminales han guardado informaci\u00f3n y datos de las v\u00edctimas, incluyendo los casos de que \u00e9stos han pagado, clara violaci\u00f3n a lo prometido durante la negociaci\u00f3n. Esto confirma las sospechas de que, muchas veces, acceder el pago no es una garant\u00eda de que los criminales efectivamente eliminen los archivos exfiltrados, los cuales posiblemente los utilicen luego para otros fines.<\/p>\n
Como parte de la Operaci\u00f3n Cronos, las fuerzas del orden tambi\u00e9n lograron recuperar m\u00e1s de 1.000 claves de descifrado de los servidores LockBit incautados, mediante las cuales desarrollaron una herramienta de descifrado LockBit 3.0, el cual ya est\u00e1 disponible de manera gratuita a trav\u00e9s del portal No More Ransom: https:\/\/www.nomoreransom.org\/en\/decryption-tools.html<\/a><\/p>\n En caso de que su organizaci\u00f3n haya sido v\u00edctima de Lockbit y que conserva todav\u00eda los archivos cifrados que a\u00fan no ha podido recuperar, recomendamos utilizar dicha herramienta para tratar de descifrarlo.<\/p>\n El FBI habilit\u00f3 un formulario para todas aquellas v\u00edctimas de Lockbit que deseen participar en el enjuiciamiento de los miembros de la banda, el mismo va a ser llevado a cabo en los Estados Unidos. Dichas v\u00edctimas pueden participar ya sea como parte de la declaraci\u00f3n de impacto o buscando una restituci\u00f3n por los da\u00f1os, o tambi\u00e9n para aquellas v\u00edctimas que requieren informaci\u00f3n o asistencia. El formulario est\u00e1 habilitado para v\u00edctimas tanto dentro de EEUU como tambi\u00e9n fuera del territorio: https:\/\/lockbitvictims.ic3.gov<\/a>.<\/p>\n Si bien, es posible que la banda busque reagruparse y continuar con sus operaciones criminales, esta operaci\u00f3n supone un golpe fuerte al cibercrimen y emite un mensaje importante contra el sentimiento de impunidad de los cibercriminales.<\/p>\n <\/p>\n Fuentes:<\/p>\n https:\/\/www.cisa.gov\/news-events\/cybersecurity-advisories\/aa23-165a<\/a><\/p>\n https:\/\/www.nationalcrimeagency.gov.uk\/news\/nca-leads-international-investigation-targeting-worlds-most-harmful-ransomware-group<\/a><\/p>\n