Trend Micro revela información sobre delitos desde la interrupción de LockBit
Trend Micro Incorporated ha publicado los resultados de su exhaustiva inteligencia de amenazas tras la desarticulación del grupo de ransomware LockBit por parte de las fuerzas de seguridad. Esta operación sin precedentes, conocida como Operación Cronos, supone un importante paso adelante en la lucha mundial contra las ciberamenazas, al afectar a una entidad responsable de aproximadamente una cuarta parte de todos los ataques de ransomware en el mundo.
Robert McArdle, responsable de investigación de amenazas avanzadas de Trend, ha declarado: "Apoyamos enormemente el excelente trabajo de desarticulación realizado por las Fuerzas de Seguridad internacionales contra el grupo Lockbit, y nuestra capacidad para prestarles apoyo con el análisis de la próxima versión que tenían prevista. Adelantarnos a estos actores de amenazas no solo nos permitió transmitir información de inteligencia a las fuerzas de seguridad, sino que también reforzó la defensa de nuestra base global de clientes. A medida que analizamos las secuelas de este desmantelamiento, nuestro compromiso de mejorar la defensa de la seguridad a través de la inteligencia sobre amenazas globales está dando resultados tangibles”.
La operación Cronos se diferenció en varios aspectos de muchas de las típicas operaciones de desarticulación de grupos delictivos llevadas a cabo por las fuerzas de seguridad. Más que un simple revés para los actores de la amenaza, fue un golpe decisivo que paralizó su infraestructura, socavó sus mecanismos financieros, expuso a sus afiliados y fracturó la confianza dentro de sus propias redes ilícitas.
Este cúmulo de esfuerzos ha contribuido a empañar la reputación de LockBit entre sus redes y la comunidad de ciberdelincuentes en general, dejándolo inutilizado en sus intentos de reagruparse. El cabecilla ‘Lockbitsupp’ también ha sido expulsado de dos populares foros clandestinos: XSS y Exploit.
Página de inicio de LEA en un sitio LockBit Onion.
El grupo ha estado intentando reconstruir los sitios de filtraciones New Onion lanzados una semana después de la operación, y Lockbitsupp está buscando activamente intermediarios que vendan acceso a los dominios de primer nivel (TLD).gov, .edu y.org, en lo que parece ser una represalia por Cronos.
Sin embargo, estos esfuerzos parecen estar fracasando. La telemetría de Trend revela casos limitados de ataques con éxito desde la interrupción. Aunque se han publicado decenas de víctimas en el nuevo sitio de filtraciones de LockBit, la gran mayoría fueron reubicadas de campañas anteriores o son víctimas de otros grupos de amenazas como ALPHV.
El grupo también ha estado desarrollando una nueva versión del ransomware, Lockbit-NG-Dev, que Trend ha estado vigilando de cerca y ha proporcionado protecciones avanzadas a los clientes.
Principales logros de la Operación Cronos
- Daño reputacional a LockBit: dada su reputación empañada, LockBit se enfrenta a importantes retos para reconstruir sus operaciones y redes de afiliados.
- Interrupción estratégica de la infraestructura: el enfoque en profundidad de la operación ha dificultado y dilatado el proceso de reconstrucción y reagrupación de LockBit, retrasando cualquier posible resurgimiento.
- Disuasión eficaz: el conocimiento de las actividades de los afiliados y las advertencias posteriores han desmantelado probablemente cualquiera de los programas de afiliados de LockBit, debilitando aún más su capacidad operativa.
- Mayor seguridad empresarial: los clientes de Trend se benefician del resultado de la operación y de la reducción del riesgo de ser objetivo de un actor importante en el mercado del ransomware.
Esta interrupción pone de manifiesto el incesante empeño de Trend por anticiparse a las amenazas y proteger a las organizaciones de todo el mundo frente a los peligros cambiantes del panorama cibernético. La mejor forma de desbaratar a los adversarios comunes es compartiendo inteligencia de manera rápida y eficaz.
Para leer una copia del informe, Desvelando las consecuencias: el impacto de la Operación Cronos en LockBit tras una interrupción histórica, visitar: https://research.trendmicro.com/LockBitDisruptionAftermath