Por Thorsten Rosendahl, Hazel Burton | Cisco Talos

En los antiguos mitos griegos, el poderoso Hércules se enfrentó a un reto aparentemente insuperable cuando se encontró con la Hidra de Lerna. Esta temible serpiente tenía una habilidad aterradora: por cada cabeza que Hércules cortaba, brotaban dos más, creando un ciclo interminable de rebrote y renovación.

Al igual que Hydra, las bandas modernas de ransomware plantean a la sociedad una tarea de enormes proporciones. Cuando las fuerzas de seguridad consiguen sacar de las calles a un adversario o a un miembro de bajo nivel, la victoria suele ser efímera. Al caer uno, otros dos pueden alzarse para ocupar su lugar, perpetuando una saga perdurable de actividades ilícitas.

En este texto, se analiza el reciente desmantelamiento de LockBit por parte de las fuerzas de seguridad, un grupo que anteriormente ostentó el título de variante de ransomware número uno más desplegada durante dos años consecutivos. Tan solo siete días después del desmantelamiento, LockBit afirmó reanudar sus operaciones.

Historia de LockBit

LockBit surgió alrededor de 2019. Desde entonces, no ha dejado de evolucionar e innovar para actualizar su ransomware y crear su programa RaaS.

Durante los dos últimos años, las operaciones del ransomware LockBit representaron más del 25 por ciento del número total de publicaciones realizadas en sitios de filtración de datos. La evaluación de CISA es también que LockBit ha sido la variante de ransomware más desplegada en los últimos años.

Como se indica en el informe Talos Year in Review de 2023, las publicaciones realizadas en el sitio de filtración de datos del grupo tuvieron altibajos entre septiembre de 2022 y agosto de 2023. Las detecciones de actividad de LockBit parecen repuntar en marzo, coincidiendo en parte con el despliegue de LockBit contra instancias vulnerables del software de gestión de impresoras PaperCut, donde se han mantenido constantemente altas.

La tendencia a la colaboración

Durante los últimos dos años, los investigadores de Talos han escrito sobre una tendencia creciente del ransomware, en la que los actores colaboran cada vez más entre sí y comparten herramientas e infraestructura (también conocido como modelo de afiliación).

Se están viendo grupos más diversificados que emplean múltiples programas de cifrado, así como actores menos sofisticados que “se suben a los hombros” de gigantes utilizando código de ransomware filtrado. Algunos actores están abandonando el juego por completo, pero no sin antes vender su código fuente al mejor postor. Esto está planteando importantes retos a la comunidad de seguridad, especialmente a la hora de atribuir los ataques.

En el caso de LockBit, también se trataba de un grupo que operaba como modelo RaaS. Reclutaban afiliados ofreciéndoles participaciones en los beneficios y animándoles a realizar ataques de ransomware utilizando las herramientas y la infraestructura de LockBit. Estos afiliados a menudo no estaban conectados y, como resultado, había muchas variaciones en los ataques que utilizaban el ransomware de LockBit.

En particular, el grupo de ransomware LockBit publicó en diciembre de 2023 en un foro de la dark web de habla rusa una oferta para reclutar a afiliados de los ransomware ALPHV (BlackCat) y NoEscape y a cualquiera de los desarrolladores de ALPHV, tras el anuncio de la Oficina Federal de Investigación (FBI) de una campaña de interrupción contra la operación del ransomware ALPHV.

Operación Cronos

La NCA, en estrecha colaboración con el FBI y con el apoyo de socios internacionales de otros nueve países, investigó encubiertamente LockBit como parte de un grupo de trabajo especializado denominado Operación Cronos.

El 20 de febrero de 2024, tras infiltrarse en la red del grupo, la NCA se hizo con el control del entorno de administración principal de LockBit. Este entorno permitía a los afiliados crear y llevar a cabo ataques de ransomware, así como alojar el sitio de filtraciones público del grupo en la dark web, que se utilizaba para amenazar con la publicación de los datos robados a las víctimas.

La infiltración técnica y la interrupción fueron sólo el principio de una serie de acciones contra LockBit y sus afiliados. En acciones más amplias coordinadas por Europol, se detuvo al menos a tres afiliados de LockBit en Polonia y Ucrania, y se han congelado más de 200 cuentas de criptomonedas vinculadas al grupo.

El regreso

Siete días después de la operación, se publicaron mensajes e información sobre las filtraciones en una nueva página de LockBit. El sitio enumera víctimas anteriores y posteriores a la retirada, lo que sugiere que LockBit podría no haber perdido el acceso a todo su conjunto de datos o infraestructura.

Un tema recurrente

Aunque LockBit domina actualmente los titulares, ya hemos visto antes historias similares tras intentos de desmantelamiento. Por ejemplo, en febrero de 2022 se desmanteló la infraestructura del troyano Trickbot.

Sin embargo, la telemetría de Talos detectó actividad de Trickbot a lo largo de 2023, tal y como se reporta en nuestro Year in Review.

Sigue abierto

Talos tiene información de que Lockbit sigue aceptando afiliados en su programa. ¿Significa esto que las operaciones policiales no tienen sentido? De ninguna manera.

Los intentos de desmantelamiento como la Operación Cronos perturban gravemente sus operaciones y obligan a los operadores de ransomware a cambiar sus ataques. La operación contra LockBit no parece haber asestado el golpe definitivo al grupo de ransomware, pero lo ha herido.

También se sabe que las fuerzas del orden pudieron obtener gran cantidad de información gracias a su operación. Esa inteligencia sólo servirá para ser útil en nuevas interrupciones, socavando el crecimiento de Lockbit. Por lo tanto, si se pone a Lockbit en una perspectiva de mercado, parecen estar bastante expuestos.

Como en el caso de LockBit, las herramientas de descifrado pueden liberarse para que las víctimas del ransomware vuelvan a acceder a sus sistemas. En enero, Talos obtuvo un código ejecutable capaz de descifrar los archivos afectados por la variante del ransomware Babuk Tortilla, lo que permitió a Talos extraer y compartir la clave de descifrado privada utilizada por el actor de la amenaza.

Por lo tanto, es importante no ver esta operación como un esfuerzo “de una vez por todas”. Los enfoques sostenidos y específicos de las fuerzas de seguridad y la comunidad de defensores pueden tener y tienen un impacto significativo. Por ejemplo, tras las acciones del FBI contra BlackCat/ALPHV, el grupo negó a un afiliado un pago de 22 millones de dólares por ransomware antes de cerrar sus puertas a principios de marzo.

El lucrativo modelo de afiliación

Uno de los principales problemas al momento de abordar los delitos de ransomware es la naturaleza del programa de afiliación, ya que los actores suelen trabajar para varios grupos de RaaS a la vez. En los foros clandestinos cada vez se ven más anuncios de grupos de RaaS que exhiben sus programas de afiliación y ofrecen participaciones en los beneficios. Lo anterior por su capacidad de llevar a cabo múltiples campañas utilizando los programas de cifrado que se ofrecen o distribuyen.

En el caso del grupo GhostSec, tienen un modelo de negocio que ofrece a los afiliados tres opciones diferentes: una versión de pago, una versión gratuita y una versión para los actores que no quieren convertirse en miembros de la banda de ransomware pero que desean publicar los datos de las víctimas en su sitio de filtraciones.

También estamos viendo cómo varios grupos trabajan juntos, comparten sus herramientas maliciosas entre sí, luego se separan y vuelven a confiar entre sí, lo que dificulta aún más la atribución de los ataques.

Fundamentalmente, el ransomware sigue siendo enormemente rentable y está muy extendido. En el último trimestre, el equipo de Respuesta a Incidentes de Talos respondió por primera vez a incidentes de ransomware relacionados con Play, Cactus, BlackSuit y NoEscape, y en este trimestre se produjo un aumento del 17 % en los incidentes de ransomware.

Al final, la Operación Cronos puede haber perturbado temporalmente las operaciones de LockBit con la obtención de valiosos activos, una posición de mercado más débil para el grupo, además de que unos cuantos afiliados están ahora en la cárcel. Sin embargo, las raíces de Hyrdra son más profundas, y por eso es posible que sigamos viendo actividad de LockBit a lo largo del año.

¿Qué hacer a partir de ahora?

Al igual que Hércules, que burló a la Hidra con una mezcla de fuerza y estrategia, los incesantes esfuerzos de nuestras fuerzas del orden son esenciales y encomiables. Van a ser necesarios esfuerzos persistentes y estratégicos para dañar significativamente las operaciones de RaaS y debilitar el poder regenerativo de estas bandas. Las detenciones en la cúpula serán una parte clave de esto. En el caso de LockBit, parece que los líderes del grupo han eludido el arresto en esta ocasión.

Al mismo tiempo, los habitantes de Lerna (o los defensores privados) deben prestar atención a todo el panorama de amenazas. No se puede confiar en que sólo Hércules acabe con ellos. Al igual que no se puede estar seguro de que haya una sola Hydra.