La banda cibercriminal LockBit enfrenta una serie de desafíos, ya que la Operación Cronos, coordinada por autoridades de diez países, no solo logró interrumpir sus operaciones, sino que también reveló las identidades de casi 200 afiliados a la organización, quienes ahora enfrentan la posibilidad de persecución legal.
Durante la operación, la Agencia Nacional del Crimen del Reino Unido tomó el control del sitio web de LockBit y divulgó una lista de individuos implicados en ataques perpetrados entre 2022 y 2024, abarcando a instituciones y empresas mexicanas, como el Aeropuerto Internacional de Querétaro y Grupo DINA, S.A.
Estas entidades fueron víctimas de ransomware, siendo chantajeadas para liberar su información confidencial. En un giro inusual, las autoridades están enfocadas en exponer a todos los involucrados con este grupo delictivo cibernético, con el objetivo de arrestarlos o disuadirlos de continuar sus actividades ilícitas.
La Operación Cronos logró apoderarse de casi 11 mil dominios y servidores de LockBit en todo el mundo, congelando aproximadamente 200 cuentas de criptomonedas vinculadas a los criminales informáticos. Además, se obtuvo acceso a más de mil llaves de cifrado, brindando apoyo a las víctimas afectadas por los hackers.
Autoridades de Estados Unidos y el Reino Unido anunciaron el arresto de dos personas en Ucrania y Polonia, respectivamente, relacionadas con el grupo, junto con una recompensa de hasta diez millones de dólares por información que conduzca a la identificación y detención de los líderes de LockBit.
La Agencia Nacional del Crimen del Reino Unido, ahora a cargo del sitio web de LockBit, publicó una lista de casi 200 afiliados al grupo, acompañada de un mensaje irónico que atribuye la situación a las fallas en la infraestructura de LockBit y sugiere una posible comunicación futura con los afectados.
Hiram Alejandro Camarillo, director de información de Seekurity, detalló que la lista incluye a afiliados que colaboraron con LockBit desde 2022 hasta 2024, categorizándolos en dos grupos: desarrolladores, responsables de crear el software de secuestro de información, y afiliados que representan a personas o grupos que operan bajo el esquema de ransomware como servicio.
Esto implica que utilizan las herramientas proporcionadas por los desarrolladores para perpetrar ataques, mientras LockBit recibe una parte de los pagos de las víctimas. El proceso de afiliación requería pasar una entrevista con éxito y realizar un depósito de un bitcoin, una medida destinada a protegerlos de las autoridades y expertos en ciberseguridad.
En adición a los arrestos ya mencionados, las autoridades de Estados Unidos y el Reino Unido anunciaron una recompensa de hasta 10 millones de dólares por información que conduzca a la identificación y detención de los líderes de LockBit. La información sobre los afiliados podría tener un valor de hasta cinco millones de dólares.
Alexander Zabrovsky, analista de huella digital en Kaspersky, considera que LockBit ha servido como un modelo para muchos ciberdelincuentes. La estrategia adoptada por las autoridades, que incluye la detención de colaboradores, la modificación de la página principal del sitio web del grupo y la publicación de entradas de blog programadas, podría tener un impacto psicológico significativo en los ciberdelincuentes, llevándolos a abstenerse temporalmente de actividades fraudulentas o incluso a reconsiderar y abandonar sus empresas criminales.
Aunque existe la posibilidad de que otro grupo ocupe el espacio dejado por LockBit a largo plazo, aprendiendo de sus errores y buscando operaciones más seguras, Zabrovsky insta a fortalecer las defensas tanto de empresas como de gobiernos y organizaciones sin fines de lucro.
Entre las empresas y entidades mexicanas afectadas por LockBit se encuentran los Servicios de Salud de Veracruz, el Aeropuerto Internacional de Querétaro, Foxconn/Tijuana, Grupo DINA S.A., Servicio de Salud del estado de Morelos, Telepro, Macuspana (Tabasco), Ragasa, y Grupo Martex.
