LockBit: la reaparición de un gigante cibercriminal tras la operación Cronos
El mundo fue testigo de un acontecimiento sin precedentes en la lucha contra el ciberdelito: LockBit, considerado por muchos como el grupo cibercriminal más grande y sofisticado hasta la fecha, enfrentó en febrero una interrupción masiva de sus operaciones.
La acción fue lograda gracias a una fuerza de tareas de carácter internacional, liderada por potencias como Gran Bretaña, los Estados Unidos y Europol.
La denominada "operación Cronos", que se centró en el corazón del modelo de Ransomware como Servicio (RaaS) de LockBit, solo puso en evidencia la profesionalización de estas actividades cibercriminales, y también marcó un hito en la colaboración internacional contra el ciberdelito.
Para poner en contexto esta noticia, es importante recordar que LockBit llevó el modelo RaaS a un nivel de profesionalización nunca visto, afectando a al menos 2.000 víctimas conocidas y acumulando más de 120 millones de dólares en procesos de extorsión -pagos de rescate-.
Este modelo de negocio, que se basa en la distribución de software malicioso a cambio de un rescate, ha demostrado ser no solo lucrativo sino también resiliente.
Sin embargo, lo que parecía ser un golpe definitivo a la infraestructura de LockBit, se convirtió en una tregua. Cinco días después del operativo, el grupo cibercriminal demostró su capacidad de recuperación: emergió con nuevos "mirrors" (espejos) en la "dark web" (web oscura) y publicó una nueva lista de víctimas, desafiando abiertamente los esfuerzos de la comunidad internacional.
La evolución de LockBit
A nivel técnico, LockBit no paró en su empeño por evolucionar. En el momento de la desactivación de su infraestructura, investigadores de Trend Micro y la Agencia Nacional del Crimen de Gran Bretaña (NCA) descubrieron que el grupo ya desarrollaba un nuevo artefacto malicioso: LockBit 4.0.
Este nuevo programa maligno, aparentemente desarrollado en .NET y compilado con CoreRT (en contraste con la versión anterior en C/C++), representa una evolución en la sofisticación técnica del grupo.
Esta rápida resurrección de LockBit habla de su rápida capacidad de adaptación, pero no hay que perder de vista una limitación crítica del modelo RaaS: la dificultad de convertir los activos digitales obtenidos (principalmente en forma de bitcoin) en moneda fiat sin dejar rastro.
El congelado de "wallets" (billeteras) por parte de las fuerzas de seguridad logró inmovilizar 110 millones de dólares en bitcoin, evidenciando una de las pocas vulnerabilidades en la operativa de LockBit.
La operación Cronos es, sin duda, un avance significativo en la batalla contra el cibercrimen. Pero sería un error considerar este evento como una victoria definitiva. La rápida recuperación de LockBit, junto con su habilidad para adaptarse y mejorar su infraestructura y métodos, demuestra que la lucha contra estos actores de amenazas está lejos de terminar.
En este contexto, es imperativo que las organizaciones, independientemente de su tamaño o industria, adopten una postura proactiva en la gestión de sus riesgos en línea.
La resiliencia de grupos como LockBit subraya la importancia de implementar estrategias de ciberseguridad robustas, que se enfoquen en la prevención y también en la detección temprana y la respuesta rápida ante incidentes.
Como comunidad global, debemos reconocer que el ciberespacio no tiene fronteras. La colaboración internacional y el intercambio de inteligencia sobre amenazas son fundamentales para anticipar y mitigar los ataques de actores de amenazas tan sofisticados como LockBit.
Solo a través de un esfuerzo conjunto, que incluya tanto a entidades gubernamentales como al sector privado, podremos aspirar a un ciberespacio más seguro para todos.
(*) Especialista en ciberseguridad y director general ejecutivo de Bloka.