Una operación internacional coordinada por la Agencia Nacional Contra el Crimen del Reino Unido (NCA) ha logrado desarticular a LockBit, el grupo de ciberdelincuentes responsable de numerosos ataques de ransomware contra empresas e instituciones de todo el mundo. Sin embargo, la historia de LockBit y el impacto de este tipo de ciberamenazas va más allá de esta operación reciente.
¿Qué es LockBit?
LockBit es un malware que cifra los archivos de las víctimas y les exige el pago de un rescate, generalmente en criptomonedas, para recuperarlos. Además, amenaza con publicar los datos robados si no se cumple con sus demandas. Según la NCA, LockBit se centró en infraestructuras críticas y grandes grupos industriales, con rescates que oscilaban entre 5,4 y 75,4 millones de dólares.
Historia y Evolución de LockBit
LockBit apareció por primera vez en septiembre de 2019, y desde entonces ha evolucionado para convertirse en uno de los grupos de ransomware más prolíficos y temidos del mundo. A diferencia de otros grupos, LockBit se especializó en ataques dirigidos a empresas y organizaciones con infraestructuras críticas, lo que le permitió maximizar sus demandas de rescate.
El grupo también innovó en su modelo de negocio al ofrecer “Ransomware como Servicio” (RaaS), permitiendo que afiliados utilicen su software a cambio de una parte de los rescates obtenidos. Este modelo permitió a LockBit expandir rápidamente su alcance global, afectando a cientos de organizaciones en poco tiempo.
La Amenaza Global de LockBit
La NCA calificó a LockBit como la banda de ransomware “más dañina” del mundo y destacó que sus ataques afectaron a más de 300 organizaciones en 2023, causando pérdidas económicas y operativas de gran magnitud. Entre sus víctimas más recientes se encuentran el Puerto de Lisboa, el banco chino ICBC y el fabricante de automóviles Stellantis.
LockBit no solo impactó a grandes empresas internacionales, sino que también puso en riesgo la seguridad nacional y la infraestructura crítica de varios países. En algunos casos, los ataques de LockBit provocaron interrupciones significativas en la producción, la logística y los servicios esenciales, exacerbando la preocupación mundial por la ciberseguridad.
Los Ataques a Entidades Chilenas
En una serie de ataques cibernéticos que sacudieron a Chile, LockBit dejó su huella, comprometiendo importantes instituciones como el Poder Judicial y la Comisión Nacional de Acreditación (CNA). Utilizando su temible ransomware, LockBit cifró los archivos de estas entidades y exigió rescates para su liberación. La gravedad de estos incidentes llevó al CSIRT de Gobierno a emitir una alerta de seguridad y a proporcionar recomendaciones preventivas para hacer frente a esta amenaza.
“LockBit no solo ejemplificó las mejores prácticas y tácticas que permitieron a los actores de amenazas atacar con éxito a empresas durante un período prolongado, sino que también continuamente evolucionó su programa de asociación“, explicó Alexander Zabrovsky, Analista de Huella Digital en Kaspersky. “El sitio web, ahora bajo control de las fuerzas del orden, reveló 194 cuentas en el programa de afiliados, incluida una para un administrador”.
La Operación para Desbaratar “LockBit“
La operación, denominada “Cronos“, contó con la participación de las fuerzas de seguridad de una decena de países, entre ellos Estados Unidos, Francia, Alemania, Países Bajos, Rumania y Ucrania. Durante la misma, se arrestó a dos personas de nacionalidad rusa vinculadas al grupo, se incautaron de activos digitales y se tomaron el control de una treintena de servidores ubicados en diferentes países europeos.
LockBit en el Contexto del Ransomware Global
LockBit es solo una pieza en el complejo rompecabezas del ransomware global. Este tipo de ciberataques ha crecido exponencialmente en los últimos años, impulsado por la facilidad de acceso a herramientas de hacking y la creciente interconectividad de las infraestructuras tecnológicas.
El éxito de LockBit y otros grupos similares ha puesto en evidencia la necesidad urgente de mejorar las defensas cibernéticas a nivel global. Las empresas y gobiernos deben colaborar más estrechamente para desarrollar estrategias efectivas de prevención y respuesta ante el ransomware, así como para compartir información crítica en tiempo real.
El Impacto de LockBit
Respecto del impacto que tuvo esta organización en el mundo del cibercrimen, Zabrovsky comentó que “LockBit sirvió como un modelo a seguir para muchos ciberdelincuentes, más allá de los operadores de ransomware. La desarticulación del grupo marca un hito significativo para toda la comunidad”.
El modelo de negocio de LockBit, basado en la asociación con afiliados, permitió que el grupo se expandiera rápidamente y generara ganancias multimillonarias. Sin embargo, su desarticulación no significa el fin del ransomware. Nuevos grupos pueden surgir, aprendiendo de los errores de LockBit y adaptando sus tácticas para evitar ser detectados.
Estrategias de Defensa Contra el Ransomware
Para prevenir y mitigar los efectos de este tipo de ataques, los expertos recomiendan:
- Mantener los sistemas actualizados: Las actualizaciones de software y parches de seguridad son fundamentales para cerrar las brechas que los ciberdelincuentes pueden explotar.
- Realizar copias de seguridad: Las copias de seguridad regulares de los datos críticos aseguran que, en caso de un ataque, la organización pueda restaurar sus operaciones sin pagar un rescate.
- Utilizar soluciones de seguridad: Antivirus, firewalls y sistemas de detección de intrusos son herramientas esenciales para detectar y bloquear actividades maliciosas.
- Evitar abrir correos o archivos sospechosos: La concienciación sobre phishing y otras tácticas de ingeniería social es crucial para reducir el riesgo de infección.
- No pagar los rescates: Pagar un rescate no garantiza la recuperación de los archivos y puede incentivar a los atacantes a repetir el ataque.
El Futuro del Ransomware y la Resiliencia Cibernética
“Es crucial no pasar por alto el potencial de que otro grupo llene el vacío dejado por LockBit, aprendiendo de sus errores y apuntando a operaciones aún más seguras”, sostuvo Zabrovsky. “El objetivo principal de tales grupos, especialmente aquellos que ofrecen ransomware como servicio, son las ganancias”.
El combate contra el ransomware es una carrera continua. Mientras las fuerzas del orden y los expertos en ciberseguridad logran victorias importantes, como la operación “Cronos“, los ciberdelincuentes continúan desarrollando nuevas tácticas y herramientas. Por lo tanto, la resiliencia cibernética debe ser una prioridad constante para todas las organizaciones.
LockBit ha dejado una marca indeleble en la historia del cibercrimen, demostrando tanto la sofisticación de las amenazas cibernéticas modernas como la importancia de la cooperación internacional para enfrentarlas. Aunque su desarticulación es un logro significativo, el peligro del ransomware persiste. Las organizaciones deben seguir alerta, adoptando medidas preventivas y fortaleciendo sus defensas para estar preparadas ante futuras amenazas.
ACTUALIZACIÓN: Se incorporaron los comentarios de Alexander Zabrovsky, Analista de Huella Digital en Kaspersky.