La Oficina Federal de Investigaciones (FBI) de los Estados Unidos ha revelado que está en posesión de miles de claves de descifrado del ransomware LockBit y quiere que las víctimas de la prolífica banda de ciberdelincuentes, derribada en febrero de 2024 en una operación liderada por el Reino Unido, se recuperen. saber si quieren ayuda.
Hablando el miércoles 5 de junio en una conferencia sobre seguridad cibernética en Boston, Massachusetts, el subdirector de la División Cibernética del FBI, Bryan Vorndran, dijo que la agencia estaba dispuesta a hacer un buen uso de su tesoro de claves y pidió a las víctimas estadounidenses que se pusieran en contacto con el FBI. Las víctimas en otros lugares deben ponerse en contacto con sus propias autoridades cibernéticas nacionales, incluido el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido.
“Ahora tenemos más de 7.000 claves de descifrado y podemos ayudar a las víctimas a recuperar sus datos y volver a conectarse”, dijo Vorndran. “Nos estamos comunicando con víctimas conocidas de LockBit y alentamos a cualquiera que sospeche que fue una víctima a visitar nuestro Centro de denuncias de delitos en Internet en ic3.gov”.
Desarrollado por un ciudadano ruso llamado Dimitri Khoroshev, que utilizaba nombres en línea como LockBitsupp, Nerowolfe y Putinkrab, LockBit fue implementado por varios actores de ransomware como servicio (RaaS) en más de 2.400 ciberataques a lo largo de los años, extorsionando a miles de millones de personas. dólares de las víctimas.
Desde que la operación fue infiltrada e interrumpida en febrero, las autoridades han estado volviendo contra ellos las tácticas de Kohoroshev y sus secuaces, nombrándolos y avergonzándolos, e incluso troleándolos en línea.
“[Khoroshev] mantiene la imagen de un hacker oscuro… Pero en realidad es un criminal, más atrapado en la burocracia de la gestión de su empresa que en cualquier actividad encubierta”, se burló Vorndran.
“Khoroshev… intentó que fuéramos suaves con él atacando a sus competidores, nombrando a otros operadores de ransomware como servicio. Entonces, realmente es como tratar con bandas del crimen organizado, donde el jefe se da vuelta y pide clemencia. No seremos fáciles con él”.
Raj Samani, vicepresidente senior y científico jefe de Rapid7, comentó: “El descubrimiento y liberación de más de 7.000 BloquearBit Las claves de descifrado son otra patada en el diente para el grupo de ransomware y una gran victoria para las autoridades. Los gustos de BloquearBit sobrevivir y prosperar gracias a que las víctimas pagan demandas de rescate, por lo tanto, es fantástico ver que el gobierno de EE. UU. sea proactivo y evite esto liberando las claves de descifrado de forma gratuita.
“Desde que las fuerzas del orden derribaron BloquearBitEn la infraestructura de febrero de 2024, se involucraron en relaciones públicas y control de daños para mostrar fortaleza y mantener la confianza de los afiliados. Sin embargo, este tipo de anuncios por parte del FBI dañan esta confianza y, con suerte, pronto veremos el final de la BloquearBit grupo de ransomware”, añadió.
Los negocios criminales de Khoroshev al descubierto
Khoroshev, quien una vez se burló de sus perseguidores ofreciendo una recompensa de 10 millones de dólares a cualquiera que pudiera engañarlo con éxito y revelar su verdadera identidad, fue nombrado oficialmente por primera vez como el cerebro detrás de LockBit, y su personalidad quedó expuesta, en mayo.
Al mismo tiempo, las autoridades estadounidenses anunciaron que iba a ser sancionado y sometido a una serie de congelaciones de activos y prohibiciones de viajar, y acusado de 26 delitos relacionados con fraude, daños a ordenadores protegidos y extorsión.
Los estadounidenses ofrecen una recompensa multimillonaria por información que conduzca a su arresto y extradición.
Si bien algunos miembros principales del equipo LockBit están bajo custodia, desafortunadamente, debido a la ruptura de las relaciones con Rusia – donde el régimen de Putin “permite” que ciberdelincuentes como Khoroshev operen con impunidad – es poco probable que sea condenado en el corto plazo. a menos que abandone Rusia.
Los ataques LockBit continúan
Aunque la operación policial contra LockBit se considera en general un éxito y ha tenido un impacto visible en el ecosistema de ransomware, la interrupción causada no significa que la amenaza de ataques de LockBit haya disminuido. De hecho, los afiliados generales de la operación continúan realizando ciberataques esporádicos y ocasionalmente de alto perfil.
Algunas de las víctimas que han sido afectadas desde el derribo de febrero incluyen el Hospital Simone Veil en Cannes, Francia, la Universidad de Siena en Italia y la cadena de farmacias canadiense London Drugs.
A finales de abril, los cazadores de amenazas de Proofpoint encontraron evidencia de que el casillero LockBit 3.0 se estaba distribuyendo ampliamente como un archivo adjunto malicioso a correos electrónicos de phishing orquestados a través de la botnet Phorpiex.
Estos correos electrónicos, que se originaron en una persona llamada ‘Jenny Green’, estaban dirigidos a organizaciones de múltiples industrias y parecían ser en gran medida oportunistas en su orientación.
El equipo de Proofpoint dijo que la cadena de ataque no era especialmente compleja en comparación con lo que suele observarse, pero la naturaleza de gran volumen de los correos electrónicos de phishing y el uso de ransomware como carga útil de la primera etapa era algo inusual, lo que sugiere que la cadena de ataque no era especialmente compleja en comparación con lo que suele observarse. La campaña probablemente fue el resultado de la filtración del constructor de LockBit en 2022.