El ciudadano ruso Dmitry Khoroshev, conocido como administrador y desarrollador del grupo de ransomware LockBit, especializado en el secuestro de información y la extorsión de pagos multimillonarios a cambio de su liberación, fue identificado y sancionado por el Reino Unido, Estados Unidos y Australia como parte de una iniciativa global conocida como Operación Cronos.
Desde 2019, LockBit, una organización de alcance global, ha llevado a cabo varios ataques en México. No obstante, es importante destacar que en la actualidad este grupo está amenazando con filtrar la información del sitio oficial del gobierno de Yucatán. Esta amenaza fue hecha pública el 6 de mayo, un día antes de que la Operación Cronos anunciara su plan de desenmascarar al líder del grupo de ransomware.
El hacker que se creyó intocable
Khoroshev, alias LockBitSupp, quien floreció en el anonimato y ofreció una recompensa de $10 millones de dólares a quien pudiera revelar su identidad, ahora enfrentará una serie de congelamientos de activos y prohibiciones de viaje. Estas medidas se anunciaron este 7 de mayo por el Ministerio de Relaciones Exteriores y de la Mancomunidad de Naciones del Reino Unido, en conjunto con la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos y el Departamento de Asuntos Exteriores de Australia.
Las medidas adoptadas contra Khoroshev son resultado de una exhaustiva investigación en curso sobre el grupo LockBit, llevada a cabo por la NCA, el FBI y colaboradores internacionales dentro de la fuerza de tarea Operación Cronos. En febrero, la NCA anunció haber infiltrado la red del grupo y asumido el control de sus servicios, incluyendo su plataforma de filtración en la dark web, lo que representó un golpe significativo para toda la operación criminal.
Hasta hace poco, el alcance real de la criminalidad asociada a LockBit era un misterio. Sin embargo, los datos extraídos de sus sistemas revelan que entre junio de 2022 y febrero de 2024 se perpetraron más de 7,000 ataques mediante sus servicios. Los países más golpeados por esta ola delictiva fueron Estados Unidos, Reino Unido, Francia, Alemania y China.
“El anuncio de hoy pone otro clavo enorme en el ataúd de LockBit y nuestra investigación sobre ellos continúa. También estamos apuntando ahora a los afiliados que han utilizado los servicios de LockBit para infligir devastadores ataques de ransomware en escuelas, hospitales y grandes empresas de todo el mundo”
— Graeme Biggar, director general de la NCA
El impacto de LockBit en México
El grupo de ransomware LockBit ha perpetrado múltiples ataques contra entidades mexicanas en diversas ocasiones. En mayo de 2022, por ejemplo, la planta de producción de Foxconn en Tijuana, destacado fabricante de teléfonos inteligentes, fue objeto de uno de estos ataques. LockBit se adjudicó la responsabilidad y amenazó con divulgar datos sustraídos si no se pagaba un rescate.
En otro incidente reciente, el 21 de enero de 2024, Jasman Automotive, una empresa automotriz de gran envergadura en México, también fue víctima de un ataque de ransomware perpetrado por LockBit. La empresa optó por mantener un perfil bajo mientras trabajaba en la restauración de sus sistemas y negociaba con los atacantes.
En el contexto más amplio de América Latina, se ha observado un aumento en los ataques de grupos de ransomware, entre ellos LockBit, contra entidades gubernamentales. En mayo de 2022, por ejemplo, LockBit 2.0 hizo pública una serie de archivos filtrados relacionados con la Secretaría de Salud del Estado de Morelos, mientras que otras víctimas incluyen el Aeropuerto Internacional de Querétaro, Grupo DINA S.A., Telepro, Macuspana en Tabasco, así como Ragasa y Grupo Martex.
La amenaza al gobierno de Yucatán
Antes de que su líder fuera expuesto, LockBit añadió el sitio oficial del gobierno de Yucatán a su lista de blancos, destacando la naturaleza sensible de los datos almacenados, como registros financieros y datos personales, lo que representa un riesgo significativo para los usuarios. Dentro del contexto de la Operación Cronos, dirigida por el FBI y la NCA del Reino Unido, el grupo de ransomware emitió un ultimátum a más de 40 víctimas, incluido el gobierno de Yucatán, exigiendo un pago no especificado en un plazo de 14 días, con vencimiento el 21 de mayo. De lo contrario, amenazaron con publicar la información secuestrada en la dark web, accesible para cualquier individuo.
LockBit podría estar a borde de la extinción
Aunque el grupo de ransomware ha intentado reconstruirse en los últimos dos meses, la NCA evalúa que como resultado de la Operación Cronos, actualmente operan con capacidad limitada y la amenaza global de LockBit ha disminuido significativamente.
Aun así, LockBit lanzó un nuevo sitio de filtración, donde han exagerado su actividad aparente al listar víctimas previas a la toma de control por parte de la NCA en febrero, además de atribuir ataques realizados con otras cepas de ransomware, como podría ser el caso del gobierno de Yucatán.
No obstante, los datos revelan una reducción del 73% en el promedio mensual de ataques de LockBit en el Reino Unido desde la intervención de febrero, con otros países también reportando disminuciones. Estos ataques parecen ser ejecutados por afiliados menos sofisticados y con un menor impacto.
A leader of what was once the world’s most harmful cyber crime group has been unmasked and sanctioned by the UK, US and Australia, following an NCA-led international disruption campaign.#Cronos @FBI @Europol
— National Crime Agency (NCA) (@NCA_UK) May 7, 2024
Full story ➡️ https://t.co/ECxlgOTH5E pic.twitter.com/iYz4w2jheK
El impacto de la Operación Cronos
La investigación no solo reveló la verdadera identidad de LockBitSupp, sino que también proporcionó a la NCA y sus colaboradores una comprensión más profunda de las operaciones y la red de LockBit. De los 194 afiliados identificados como usuarios de los servicios de LockBit hasta febrero de 2024, 148 llevaron a cabo ataques y 119 participaron en negociaciones con las víctimas, confirmando su implicación en los ataques. De estos, 39 no recibieron pagos de rescate y 75 no participaron en ninguna negociación, lo que sugiere que tampoco obtuvieron ingresos de sus actividades criminales.
Esto significa que hasta 114 afiliados pagaron tarifas considerables para unirse al programa de LockBit y causaron daños de magnitudes desconocidas, aunque no obtuvieron beneficios monetarios. Como resultado, las fuerzas del orden tomarán medidas contra ellos. Además, el número de afiliados activos ha disminuido significativamente a 69 desde febrero.
