Europol apoyó una nueva serie de acciones contra los actores de LockBit, que involucraron a 12 países y a Eurojust y condujeron a cuatro arrestos e incautaciones de servidores críticos para la infraestructura de LockBit. Un supuesto desarrollador de LockBit fue arrestado a petición de las autoridades francesas, mientras que las autoridades británicas arrestaron a dos personas por apoyar la actividad de una filial de LockBit. Los oficiales españoles incautaron nueve servidores, parte de la infraestructura del ransomware, y arrestaron a un administrador de un servicio de alojamiento Bulletproof utilizado por el grupo de ransomware. Además, Australia, el Reino Unido y los Estados Unidos implementaron sanciones contra un actor que la Agencia Nacional contra el Crimen había identificado como un afiliado prolífico de LockBit y fuertemente vinculado a Evil Corp. Esto último se produce después de la afirmación de LockBit de que los dos grupos de ransomware no trabajan juntos. El Reino Unido sancionó a otros quince ciudadanos rusos por su participación en las actividades delictivas de Evil Corp, mientras que Estados Unidos también sancionó a seis ciudadanos y Australia sancionó a dos.
La infraestructura completa de LockBit en la mira de las fuerzas del orden
Estos son algunos de los resultados de la tercera fase de la Operación Cronos, un esfuerzo colectivo de larga data de las autoridades policiales de 12 países, Europol y Eurojust, que unieron sus fuerzas para interrumpir de manera efectiva y a todos los niveles las operaciones criminales del grupo de ransomware LockBit. Estas acciones siguen a la interrupción masiva de la infraestructura de LockBit en febrero de 2024, así como a la gran serie de sanciones y acciones operativas que se llevaron a cabo contra los administradores de LockBit en mayo y los meses posteriores.
Entre 2021 y 2023, LockBit fue la variante de ransomware más utilizada a nivel mundial, con un número notable de víctimas en su sitio de filtración de datos. Lockbit operaba con el modelo de rescate como servicio. El grupo principal vendía el acceso a afiliados y recibía parte de los pagos de rescate recaudados. Las entidades que implementaron ataques de ransomware LockBit habían apuntado a organizaciones de varios tamaños que abarcaban sectores de infraestructura crítica como servicios financieros, alimentos y agricultura, educación, energía, servicios gubernamentales y de emergencia, atención médica, fabricación y transporte. Como reflejo de la considerable cantidad de afiliados independientes involucrados, los ataques de ransomware LockBit muestran una variación significativa en las tácticas, técnicas y procedimientos observados.
No más rescates para descifrar tus archivos
Con el apoyo de Europol, la Policía japonesa, la Agencia Nacional contra el Crimen y la Oficina Federal de Investigaciones han concentrado su experiencia técnica en el desarrollo de herramientas de descifrado diseñadas para recuperar archivos cifrados por el ransomware LockBit.
El apoyo del sector de la ciberseguridad también ha resultado crucial para minimizar los daños causados por los ataques de ransomware, que siguen siendo la mayor amenaza de la ciberdelincuencia. Muchos socios ya han proporcionado herramientas de descifrado para varias familias de ransomware a través del sitio web “No More Ransom”.
Estas soluciones se han puesto a disposición de forma gratuita en el portal ‘No More Ransom’ , disponible en 37 idiomas. Hasta el momento, más de 6 millones de víctimas de todo el mundo se han beneficiado de No More Ransom, que contiene más de 120 soluciones capaces de descifrar más de 150 tipos diferentes de ransomware.
El apoyo de Europol
Europol facilitó el intercambio de información, apoyó la coordinación de las actividades operativas y proporcionó apoyo analítico operativo, así como rastreo de criptomonedas y apoyo forense. El flujo de trabajo de análisis propuesto después de la primera operación permitió un trabajo conjunto centrado en la identificación de los actores de LockBit. Las avanzadas capacidades de desmezcla del Centro de Ciberdelincuencia de Europol permitieron la identificación de varios objetivos. Tras las operaciones de inicio contra la infraestructura de LockBit a principios de 2024, Europol organizó siete sprints técnicos, tres de los cuales se dedicaron íntegramente al rastreo de criptomonedas. Durante los días de acción, Europol envió un experto para brindar apoyo in situ a las autoridades nacionales.
La operación contó con el apoyo del Grupo de Trabajo Conjunto sobre Ciberdelincuencia (J-CAT) de Europol. Este equipo operativo permanente está formado por oficiales de enlace cibernético de distintos países que trabajan desde la misma oficina en investigaciones de ciberdelincuencia de alto perfil.
Autoridades participantes en la Operación Cronos
- Australia: Policía Federal Australiana
- Canadá: Real Policía Montada de Canadá/ Gendarmería real de Canadá
- Francia: Gendarmería – (Gendarmerie Nationale – Unité nationale cyber C3N); Tribunal de París JUNALCO (Jurisdicción Nacional contra el Crimen Organizado) Unidad de Delitos Cibernéticos
- Alemania: Oficina Estatal de Investigación Criminal (Landeskriminalamt Kiel) y Oficina Federal de Policía Criminal (Bundeskriminalamt)
- Japón: Agencia de Policía Nacional de Japón (警察庁)
- España: Guardia Civil Española
- Suecia: Autoridad policial sueca
- Suiza: Suiza Fedpol – Policía del estado de Zúrich
- Países Bajos: Policía Nacional (Politie) Dienst Regionale Recherche Oost-Brabant
- Rumanía: Unidad Central de Delitos Cibernéticos de la Policía Nacional
- Reino Unido: Agencia Nacional contra el Crimen, Unidad Regional contra el Crimen Organizado del Suroeste (ROCU del Suroeste)
- Estados Unidos: Oficina Federal de Investigaciones de Newark