A última hora del 19 de febrero de 2024, la Agencia Nacional contra el Crimen (NCA) del Reino Unido confiscó el sitio web principal de LockBit, el grupo de ransomware más prolífico de los últimos tiempos. En cooperación con sus socios internacionales encargados de hacer cumplir la ley en el FBI de los Estados Unidos, la Gendarmería Nacional francesa, Europol y otros, la NCA se apoderó de los servidores físicos que operaban el sitio principal y arrestó a dos hombres, uno en Polonia y el otro en Ucrania. Además, Estados Unidos anunció el mismo día sanciones a dos ciudadanos rusos por su papel en el sindicato criminal.
Este tipo de acción policial multinacional coordinada nos brinda nuevos conocimientos sobre cómo operan estos grupos del crimen organizado y también expone algunos de los límites que tenemos a nuestra disposición para controlar este tipo de actividad.
Comencemos con lo básico: ¿Qué constituye exactamente un “sindicato de ransomware”? La mayoría de las veces parecen tomar la forma de una comuna anarcosindicalista. Por lo general, eso incluye un grupo central de desarrolladores de software para crear sitios web, malware y sitios de pago; alguien para lavar dinero; y alguien con un buen dominio del inglés para negociar el pago con las víctimas. Los ataques reales son llevados a cabo por los llamados “afiliados”. Estos afiliados se registran para utilizar la plataforma y la marca para extorsionar a las víctimas y compartir las ganancias.
La identidad es fluida en el mundo criminal
Nuestro primer problema radica en esa estructura: estos “grupos” en su mayoría están afiliados de manera flexible y operan bajo una marca. Cerrar la marca no necesariamente afecta a los propios miembros del grupo principal. Cuando Estados Unidos impuso sanciones contra algunos de sus miembros, la marca “LockBit” está prácticamente muerto. Ninguna entidad con sede en EE. UU. estará dispuesta a pagar un rescate por LockBit, pero si resurgen mañana como CryptoMegaUnicornBit o similar, el ciclo comenzará de nuevo.
Privar a estas personas de ingresos con un nuevo nombre es muy difícil. Las sanciones emitidas hoy contra Ivan Kondratyev y Artur Sungatov (los ciudadanos rusos sancionados) han arruinado LockBit, pero cuando regresen como DatasLaYeR001 y Crypt0Keeper69, ¿cómo sabrán las víctimas que son entidades sancionadas? Las sanciones son meros obstáculos, no soluciones reales a largo plazo al problema del ransomware.
Las cinco acusaciones del Departamento de Justicia de Estados Unidos (DOJ) probablemente sean sólo el comienzo. En casos anteriores de este tipo, las únicas acusaciones hechas públicas son para personas que se encuentran en países donde es poco probable que Estados Unidos obtenga cooperación policial; De no ser así, Estados Unidos elegirá a la lista de entidades sancionadas. Es de esperar que acechen más acusaciones selladas, desconocidas por ahora para sus sujetos; tales acusaciones podrían, por ejemplo, utilizarse para atrapar a otros participantes identificados si cometen el error de viajar internacionalmente durante un día festivo. Los miembros de la familia criminal LockBit que se encontraban en países favorables a la aplicación de la ley fueron arrestados (en Polonia (por lavado de dinero) y en Ucrania (sin especificar)) y probablemente enfrentarán cargos en Francia.
La seguridad es dificil
¿Cómo lograron las fuerzas del orden acabar con estos matones? Todo indica que puede haber comenzado con una vulnerabilidad de seguridad sin parchear, CVE 2023-3824, si se cree en los propios delincuentes. Ser un hacker criminal profesional no te hace mágicamente bueno para proteger tu propia infraestructura, y los observadores habían comentado sobre la lucha de LockBit para administrar su infraestructura de TI a mediados de 2023, irónicamente, justo antes de que se informara públicamente el CVE-2023-3824.
Una vez que se explotó el servidor web que ejecutaba el sitio de la fuga, presumiblemente pudieron apoderarse físicamente de los servidores que ejecutaban la operación y comenzar a desmantelar cada vez más la infraestructura de soporte. La prensa ha informado que se trataba de una operación de varios años. (Como recordatorio, LockBit es una marca relativamente longeva; el primer avistamiento se remonta a 2019 y, al 19 de febrero de 2024, su propia página de filtración de archivos dice que el sitio había estado activo durante 4 años y 169 días).
Esta no es una idea o enfoque nuevo. También hemos visto a las fuerzas del orden “piratear” la infraestructura criminal en casos anteriores, a veces utilizando vulnerabilidades de día cero en navegadores y herramientas, otras veces detectando a los delincuentes cometiendo un error al olvidarse de usar una VPN o un navegador Tor, lo que lleva a su identificación y detención. Estos errores de seguridad operativa (OpSec) son, en última instancia, la perdición incluso de los delincuentes más sofisticados.
Si queremos seguir aumentando la presión sobre estos grupos, debemos aumentar la capacidad de las fuerzas del orden para llevar a cabo estas operaciones. Son esenciales no sólo para desmantelar la infraestructura utilizada en estos ataques, sino también para socavar la confianza que los co-conspiradores depositan en la seguridad de su participación. Necesitamos policías cibernéticos más capacitados y con remuneraciones competitivas y un poder judicial mejor informado para aprobar estas operaciones.
Lamentablemente, a pesar del éxito que han tenido la NCA y sus socios, no han desactivado totalmente la red Lockbit. Varios sitios web oscuros utilizados por el grupo todavía están disponibles, incluido el más dañino de todos: el que alberga el contenido robado de las víctimas para exponerlas como represalia por su falta de pago. El daño ya estaba hecho antes del derribo, pero su compromiso no fue completo.
Jactancia, fanfarronería y actitud
La gente ha estado comentando en las redes sociales sobre el “trolling épico” de la NCA en su incautación y resurrección del sitio de filtración LockBit. ¿Fue esto sólo un acto de bravuconería o hay un motivo más profundo por parte de la policía y los responsables políticos? No tengo la respuesta, pero espero y sospecho que esto se hace con intención.
Figura 1: La página de eliminación es informativa y promete más emoción más adelante en la semana.
La experiencia sugiere que muchos, pero no todos, los titiriteros criminales que orquestan estas actividades se encuentran en países que no pueden o no quieren hacer cumplir el Estado de derecho contra grupos que apuntan a víctimas occidentales. Además, muchos de sus afiliados saben muy bien que no están tan bien protegidos como los líderes del grupo.
Montar una escena e infundir miedo, incertidumbre y dudas sobre si sus herramientas, comunicaciones e identidades están siendo monitoreadas o ya comprometidas podría disuadir a los actores secundarios de participar. Durante un tiempo ha habido una paranoia bien justificada entre las bandas criminales de que han sido comprometidas por investigadores y autoridades. Ellos están en lo correcto. Estamos entre ellos, observándolos. El trolling y la exposición que la NCA ha orquestado nos recuerdan el punto: estamos en usted.
¿En los criminales confiamos?
Muchas víctimas han argumentado que pagaron el rescate para evitar que sus clientes, empleados y accionistas vieran expuestos sus datos. La idea de que pagar a extorsionadores para que eliminen datos robados sea un plan viable ha sido criticada por los expertos desde los albores del delito. La NCA confirmó lo que sospechábamos; Los delincuentes han conservado copias de los datos robados a las víctimas y es posible que hayan tenido la intención de explotar o monetizar aún más dicha información. No hay honor entre los ladrones.
Lo que probablemente sea más importante en este caso no es nuestra confianza en que los delincuentes cumplen su palabra, sino cómo podemos difundir esta desconfianza entre sus propios agentes. Nuestro propio escepticismo combinado con las sanciones estadounidenses debería ser suficiente para hacernos reflexionar a casi todos, pero ¿podemos crear una atmósfera en la que los propios criminales no estén seguros de en quién confiar?
Creo que este podría ser nuestro mejor elemento disuasorio. No sólo la NCA, el FBI, la Europol y otros deberían pavonearse y exponer después de un derribo, sino que los investigadores y otros deberían exponer continuamente los chats, foros y otros accesos que hayan obtenido en foros públicos para demostrar que lo que parece estar sucediendo en la oscuridad. Es probable que esté en el radar de muchos.
Pensamientos finales
No vamos a arrestar ni encarcelar para salir de esto, menos aún cuando el mundo avanza hacia una situación cada vez más balcanizada. Siento que estamos dando un giro a la madurez de nuestro enfoque; Estamos trabajando las palancas para ejercer presión donde sea necesario y, finalmente, empleando un enfoque multidisciplinario en todos los frentes utilizando la influencia a nuestra disposición.
Este evento no pondrá fin al ransomware y puede que ni siquiera ponga fin a la participación activa de muchos involucrados en el cartel LockBit. Lo que hace es avanzar en nuestro enfoque para desbaratar a estos grupos, aumentando el costo de hacer negocios y aumentando la desconfianza entre los propios delincuentes.
Los delincuentes han tenido éxito al crear guiones y patrones sobre cómo explotar sistemáticamente a las víctimas y es posible que nos estemos acercando al punto de inflexión en el que los defensores tengan su propio guión. Debemos mantenernos firmes y apoyar a nuestros socios encargados de hacer cumplir la ley en esta lucha y trabajar para golpearlos donde más duele. Dicen que el trabajo en equipo hace que el sueño funcione y si no pueden formar equipos cohesionados, se desvanecerán en el ocaso o se enfrentarán entre sí. Ganar – ganar.
Fuente Original Sophos News
