Las autoridades de EE. UU. y el Reino Unido se han apoderado de los sitios web de la red oscura administrados por BloquearBitun prolífico y destructivo grupo de ransomware que se ha cobrado más de 2.000 víctimas en todo el mundo y ha extorsionado más de 120 millones de dólares en pagos. En lugar de enumerar los datos robados de las víctimas de ransomware que no pagaron, el sitio web de LockBit para avergonzar a las víctimas ahora ofrece herramientas de recuperación gratuitas, así como noticias sobre arrestos y cargos criminales que involucran a afiliados de LockBit.
Los investigadores utilizaron el diseño existente en el sitio web de LockBit para avergonzar a las víctimas para presentar comunicados de prensa y herramientas de descifrado gratuitas.
La acción policial, denominada “Operación Cronos”, implicó la incautación de casi tres docenas de servidores; el arresto de dos presuntos miembros de LockBit; la apertura de dos autos de acusación; el lanzamiento de una herramienta gratuita de descifrado LockBit; y la congelación de más de 200 cuentas de criptomonedas que se cree que están vinculadas a las actividades de la pandilla.
Los miembros de LockBit han ejecutado ataques contra miles de víctimas en los Estados Unidos y en todo el mundo, según el Departamento de Justicia de EE. UU. (DOJ). Se estima que la pandilla, que apareció por primera vez en septiembre de 2019, solicitó cientos de millones de dólares estadounidenses en pagos de rescate y extorsionó más de 120 millones de dólares.
LockBit operaba como un grupo de ransomware como servicio, en el que el grupo de ransomware se encarga de todo, desde el alojamiento y los dominios a prueba de balas hasta el desarrollo y mantenimiento del malware. Mientras tanto, los afiliados son los únicos responsables de encontrar nuevas víctimas y pueden obtener entre el 60 y el 80 por ciento de cualquier monto de rescate pagado finalmente al grupo.
Una declaración sobre la Operación Cronos de la agencia policial europea Europol dijo que la infiltración de meses resultó en el compromiso de la plataforma principal de LockBit y otra infraestructura crítica, incluida la caída de 34 servidores en los Países Bajos, Alemania, Finlandia, Francia, Suiza, Australia. Estados Unidos y el Reino Unido. Europol dijo que dos presuntos actores de LockBit fueron arrestados en Polonia y Ucrania, pero no se ha publicado más información sobre los detenidos.
El Departamento de Justicia reveló hoy acusaciones contra dos hombres rusos supuestamente miembros activos de LockBit. El gobierno dice que es ciudadano ruso. Artur Sungatov utilizó LockBit ransomware contra víctimas en empresas de fabricación, logística, seguros y otras empresas en todo Estados Unidos.
Ivan Gennadievich KondratyevTambién conocido como “Bassterlord”, supuestamente desplegó LockBit contra objetivos en Estados Unidos, Singapur, Taiwán y Líbano. Kondratyev también está acusado (PDF) de tres cargos penales derivados de su presunto uso de la variante de ransomware Sodinokibi (también conocido como “REvil”) para cifrar datos, exfiltrar información de la víctima y extorsionar el pago de un rescate a una víctima corporativa con sede en el condado de Alameda, California. .
Con las acusaciones de Sungatov y Kondratyev, un total de cinco afiliados de LockBit han sido acusados oficialmente. En mayo de 2023, las autoridades estadounidenses revelaron acusaciones contra dos presuntos afiliados de LockBit. Mijaíl “Wazawaka” Matveev y Mijaíl Vasiliev.
Vasiliev, de 35 años, de Bradford, Ontario, Canadá, está detenido en Canadá en espera de ser extraditado a los Estados Unidos (la denuncia contra Vasiliev se encuentra en este PDF). Matveev sigue prófugo, presumiblemente todavía en Rusia. En enero de 2022, KrebsOnSecurity publicó Who is the Network Access Broker ‘Wazawaka’, que siguió pistas de los numerosos seudónimos y detalles de contacto de Wazawaka en los foros de cibercrimen en ruso hasta Mikhail Matveev, de 31 años, de Abaza, RU.
Un cartel de búsqueda del FBI para Matveev.
En junio de 2023, el ciudadano ruso Ruslan Magomedovich Astamirov fue acusado en Nueva Jersey por su participación en la conspiración LockBit, incluido el despliegue de LockBit contra víctimas en Florida, Japón, Francia y Kenia. Astamirov se encuentra actualmente bajo custodia en Estados Unidos en espera de juicio.
Se sabía que LockBit había reclutado afiliados que trabajaban con múltiples grupos de ransomware simultáneamente, y no está claro qué impacto podría tener esta eliminación en las operaciones de afiliados de ransomware competidores. la empresa de seguridad ProDaft dijo en Twitter/X que la infiltración de LockBit por parte de los investigadores proporcionó “visibilidad profunda de las estructuras de cada afiliado, incluidos los vínculos con otros grupos notorios como FIN7, Wizard Spider y EvilCorp”.
En un largo hilo sobre el derribo de LockBit en el foro ruso sobre cibercrimen XSS, uno de los líderes de la pandilla dijo que FBI y el Reino Unido Agencia Nacional contra el Crimen (NCA) se había infiltrado en sus servidores utilizando una vulnerabilidad conocida en PHP, un lenguaje de programación ampliamente utilizado en el desarrollo web.
Varios habitantes de XSS se preguntaron en voz alta por qué la falla de PHP no fue señalada por el alardeado programa “Bug Bounty” de LockBit, que prometía una recompensa financiera a los afiliados que pudieran encontrar e informar silenciosamente cualquier vulnerabilidad de seguridad que amenazara con socavar la infraestructura en línea de LockBit.
Esto llevó a varios miembros de XSS a comenzar a publicar memes burlándose del grupo por la falla de seguridad.
“¿Significa esto que el FBI proporcionó un servicio de pentesting al programa de afiliados?”, bromeó un habitante. “¿O decidieron participar en el programa de recompensas por errores? :):)”
Los investigadores federales también parecen estar molestando a los miembros de LockBit con sus avisos de incautación. El sitio de filtración de datos de LockBit presentaba anteriormente un temporizador de cuenta regresiva para cada organización víctima enumerada, que indicaba el tiempo restante para que la víctima pagara una demanda de rescate antes de que sus archivos robados se publicaran en línea. Ahora, la entrada principal en el sitio vergonzoso es una cuenta regresiva hasta el doxing público de “LockBitSupp”, el portavoz no oficial o testaferro de la pandilla LockBit.
“¿Quién es LockbitSupp?” dice el teaser. “La pregunta de los 10 millones de dólares”.
En enero de 2024, LockBitSupp dijo a los miembros del foro XSS que estaba decepcionado de que el FBI no hubiera ofrecido una recompensa por su doxing y/o arresto, y que en respuesta estaba ofreciendo una recompensa por su propia cabeza, ofreciendo 10 millones de dólares a cualquiera que pudiera descubrirlo. su nombre real.
“Dios mío, ¿quién me necesita?”, escribió LockBitSupp el 22 de enero de 2024. “Ni siquiera hay una recompensa para mí en el sitio web del FBI. Por cierto, quiero aprovechar esta oportunidad para aumentar el monto de la recompensa para una persona que pueda decirme mi nombre completo de 1 millón de dólares a 10 millones de dólares. La persona que averigüe mi nombre, me lo diga y me explique cómo pudo averiguarlo, recibirá 10 millones de dólares. Tenga en cuenta que cuando busca delincuentes, el FBI utiliza una redacción poco clara que ofrece una recompensa de HASTA 10 millones de dólares; Esto significa que el FBI te puede pagar 100 dólares, porque técnicamente es una cantidad de HASTA 10 millones. Por otro lado, estoy dispuesto a pagar 10 millones de dólares, ni más ni menos”.
Marcos Stockleyevangelista de ciberseguridad de la empresa de seguridad Malwarebytes, dijo que la NCA obviamente está troleando al grupo LockBit y LockBitSupp.
“No creo que esto sea un accidente; así es como los grupos de ransomware se comunican entre sí”, dijo Stockley. “Esto es una aplicación de la ley que se toma el tiempo para disfrutar de su momento y humillar a LockBit en su propia lengua vernácula, presumiblemente para que pierda la cara”.
En una conferencia de prensa hoy, el FBI dijo que la Operación Cronos incluía asistencia de investigación de la Gendarmería-C3N en Francia; la Oficina Estatal de Policía Criminal (LKA) y la Oficina Federal de Policía Criminal de Alemania; Fedpol y la Policía Cantonal de Zurich en Suiza; la Agencia Nacional de Policía de Japón; la Policía Federal Australiana; la Autoridad de Policía Sueca; la Oficina Nacional de Investigaciones de Finlandia; la Real Policía Montada de Canadá; y la Policía Nacional de los Países Bajos.
El Departamento de Justicia dijo que las víctimas de LockBit deben comunicarse con el FBI en https://lockbitvictims.ic3.gov/ para determinar si los sistemas afectados pueden descifrarse con éxito. Además, la policía japonesa, con el apoyo de Europol, ha lanzado una herramienta de recuperación diseñada para recuperar archivos cifrados por LockBit 3.0 Black Ransomware.
Fuente Original Krebs on Security
