RESURGIMIENTO DEL GRUPO RANSOMWARE LOCKBIT (3/2024)
A pesar del esfuerzo coordinado entre Estados Unidos y el Reino Unido en la operación "Cronos" para desmantelar los servidores del reconocido grupo de ransomware Lockbit, recientemente reaparecieron en la dark web, demostrando que han retomado operaciones.
![RESURGIMIENTO DEL GRUPO RANSOMWARE LOCKBIT (3/2024)](https://static.wixstatic.com/media/d2b1ce_7a8ff0bbd404421e9a9b5519e3568ef6~mv2.png/v1/fill/w_680,h_385,al_c,q_85,usm_0.66_1.00_0.01,enc_avif,quality_auto/Image-empty-state.png)
RESURGIMIENTO DEL GRUPO RANSOMWARE LOCKBIT
El 20 de febrero se llevó a cabo una operación internacional llamada ‘Cronos’ la cual está conformada por el Departamento de Justicia de EE.UU, la agencia contra el cibercrimen de Reino Unido y Europol, la cual logró desmantelar los servidores de Lockbit. Sin embargo, los actores de amenazas detrás de esta operación ransomware han reaparecido en la dark web enumerando 83 nuevas víctimas hasta finales de marzo de este año, marcando un reinicio en sus operaciones.
CONFISCACIÓN DE SITIOS WEB Y FALLA DE PHP
En un comunicado, el administrador detrás de LockBit “LockbitSupp” reconoció la confiscación de algunos de sus sitios web, atribuyéndola a una potencial explotación de una falla crítica en PHP conocida como CVE-2023-3824. Esta admisión revela una negligencia en la actualización del software por parte del grupo, admitiendo que la falta de acción fue el resultado de “negligencia personal e irresponsabilidad”. Las afirmaciones del grupo no se detienen ahí. También alegan que la intervención del FBI en su infraestructura fue motivada por un ataque de ransomware en el Condado de Fulton, donde se sugiere que podrían haber obtenido información comprometedora sobre el expresidente Donald Trump, planteando un potencial impacto en las elecciones estadounidenses.
CRONOLOGÍA DE LOS EVENTOS DE LOCKBIT
20 de febrero de 2024: Las autoridades lograron incautar los dominios de la dark web vinculados al grupo de ransomware LockBit, marcando un golpe significativo a las actividades del grupo.
21 de febrero de 2024: La Agencia Nacional contra el Crimen (NCA) del Reino Unido llevó a cabo una operación exitosa contra el ransomware LockBit, resultando en el arresto de dos individuos en Polonia y Ucrania, y el bloqueo de más de 200 cuentas de criptomonedas. Durante la operación, se confiscó el código de LockBit, se desmantelaron 34 servidores y se recuperaron 1.000 claves de descifrado. Además, se proporcionó una herramienta de descifrado a través del proyecto 'No More Ransom', permitiendo a las víctimas recuperar sus archivos encriptados por el ransomware de forma gratuita.
22 de febrero de 2024: El Departamento de Estado de EE. UU. ofreció una recompensa de $15 millones por información sobre los líderes de LockBit ransomware. A pesar de los contratiempos, LockBit sigue siendo una amenaza significativa.
25 de febrero de 2024: El individuo detrás del servicio de ransomware LockBit, conocido como ‘LockBitSupp’ se comunicó con las autoridades después de la operación ‘Cronos’.
26 de febrero de 2024: LockBit volvió a surgir en la dark web con nueva infraestructura y amenazó con centrar sus ataques en el gobierno de EE. UU. Asimismo, el grupo listó 12 nuevas víctimas en su portal.