Duro golpe al grupo de ransomware Lockbit

Las acciones internacionales para desbaratar las actividades de las bandas de ciberdelincuentes se han incrementado en los últimos meses (Hive, Quabot, Snake, etc.). Una última operación en la que participaron la policía y los servicios judiciales de varios países (Estados Unidos, Gran Bretaña, Francia, Japón, Suiza, Canadá, Australia, Países Bajos, Suecia y Alemania) esta vez tuvo como objetivo un pez gordo: Lockbit. Este grupo de ransomware, activo desde 2019 y cuya organización ha evolucionado con el tiempo (Lockbit 2.0 y 3.0), fue de hecho el objetivo de una acción coordinada por la Europol, el FBI y la Agencia Nacional contra el Crimen con el apoyo de las fuerzas de seguridad. policía, incluso en Francia con la Gendarmería Nacional (C3N). Antes de que esta operación se haga pública este martes, también señalaremos que Lockbit tiene comunicado a sus afiliados sobre esta situación. Otros países también han brindado apoyo a esta acción: Finlandia, Polonia, Nueva Zelanda y Ucrania.

También han proliferado los primeros mensajes que aparecen en sitios ahora bajo el control de las fuerzas internacionales de seguridad y justicia: “Este sitio está ahora bajo el control de la Agencia Nacional contra el Crimen del Reino Unido, que trabaja en estrecha colaboración con el FBI y el grupo de trabajo internacional encargado de hacer cumplir la ley. Operación Cronos”. Otro mensaje dirigido más específicamente a los afiliados de Lockbit también indica que: “Las fuerzas del orden tomaron el control de la plataforma Lockbit y obtuvieron toda la información que allí se encontraba. Esta información concierne al grupo Lockbit y a usted, su afiliado. Tenemos el código fuente, detalles de las víctimas que atacaste, la cantidad de dinero extorsionado, datos robados, chats y mucho más. Puede agradecer a Lockbitsupp y su infraestructura rota por esta situación... es posible que nos comuniquemos con usted muy pronto. Te deseamos un buen día. Saludos, la Agencia Nacional contra el Crimen del Reino Unido, el FBI, Europol y el Grupo de Trabajo de Aplicación de la Ley Operación Cronos”.

CVE-2023-3824 explotado por las fuerzas policiales

La plataforma central de LockBit y otra infraestructura crítica que permitía operar a la empresa criminal fueron atacadas, dejando fuera de línea 34 servidores. “Además, dos miembros de LockBit fueron arrestados en Polonia y Ucrania a petición de las autoridades judiciales francesas. Las autoridades judiciales francesas y estadounidenses también emitieron tres órdenes de detención internacionales y cinco acusaciones. Las autoridades han congelado más de 200 cuentas de criptomonedas vinculadas a la organización criminal, lo que demuestra un deseo de alterar las motivaciones económicas detrás de los ataques de ransomware”, dijo también Europol.

Según vx-underground, el pirateo de los servidores de Lockbit se llevó a cabo mediante la explotación de una falla crítica (CVE-2023-3824) en PHP que podría provocar un desbordamiento del búfer de pila, lo que podría provocar daños en la memoria o la ejecución remota de código. Por su parte, el investigador de seguridad Kevin Beaumont ha identificado tres servicios Lockbit que aún están en línea, incluido uno que todavía se utiliza para robar datos. “LockBit todavía tiene una infraestructura en línea que aún funciona. Es bastante sorprendente ver que durante 4 años y 170 días estos tipos han estado robando escuelas y hospitales y han hecho más”. La lista de víctimas de LockBit incluye a Manitou, el departamento de Loiret, Continental, Subway, la oficina de correos británica, la administración tributaria italiana...