domingo, mayo 26

Una condena entre las mafias de la ‘dark web’ frenó al grupo de ciberdelincuentes que atacó el Ayuntamiento de Sevilla y miles de entidades | Tecnología

Notificación de acción policial en la página de inicio de sesión de LockBit luego de la acción internacional contra el grupo de secuestro y extorsión en febrero pasado.DISPONIBLE (vía REUTERS)

EL red oscura, la red oscura oculta a los motores de búsqueda, que oculta las IP (identidad de los dispositivos con los que trabajas) y accesible sólo a través de navegadores específicos, no es un mundo sin reglas, a pesar de ser la plataforma de actividades ciberdelincuentes, pedofilia y trata de seres humanos. o venta ilegal de armas y drogas. Como todas las mafias, tienen sus reglas y violarlas conlleva un castigo. La violación de una de estas leyes, la de distribución de dinero obtenido mediante extorsión, fue lo que derribó a LockBit, la mayor organización de secuestro y chantaje. Entre los muchos delitos denunciados desde su descubrimiento en 2019, derribó el sitio web de la ciudad de Sevilla, el puerto de Lisboa, la Oficina de Presupuesto de California, un hospital infantil en Toronto y miles de empresas. La operación policial internacional contra este complot, que condujo a la detención de dos personas en Europa del Este, fue posible tras su condena por asociación criminal. El grupo criminal ahora intenta resurgir.

La Agencia Nacional contra el Crimen (NCA) del Reino Unido anunció el 20 de febrero que había «tomado el control de los servicios LockBit» después de infiltrarse en la red mafiosa en una operación denominada crono. En coordinación con Europol, dos personas fueron arrestadas en Polonia y Ucrania y se confiscaron 200 cuentas de criptomonedas. En Estados Unidos, otros cuatro presuntos delincuentes han sido acusados.

“Esta investigación contra el grupo de cibercrimen más dañino del mundo demuestra que ninguna operación criminal, dondequiera que esté ubicada y sin importar cuán avanzada sea, está fuera del alcance de la agencia y nuestros socios. Tenemos violado hacia piratas informáticos (pirata informático); tomaron el control de su infraestructura, obtuvieron su código fuente y descifraron claves que ayudarán a las víctimas a descifrar sus sistemas. A partir de hoy (20 de febrero), LockBit está bloqueado”, afirma el director de la NCA, Graeme Biggar.

El director de la Agencia Federal de Investigaciones (FBI) de Estados Unidos comparte la euforia: «El FBI y nuestros socios han desmantelado con éxito el ecosistema criminal LockBit, que representa una de las variantes de Secuestro de datos (extorsión por secuestro de sistemas informáticos) más prolífica del mundo”.

Sergey Shaykevich, director del Check Point Threat Group.CP

Pero esta operación policial internacional representó el final de un proceso que ya había comenzado en red oscura y este fue el primer detonante para el desmantelamiento de la brigada criminal. Según describió Sergey Shaykevich, director del Check Point Threat Group durante una reunión de la multinacional en Viena (CPX), el origen de la caída fue una disputa sobre los beneficios de la extorsión, resuelta en un juicio entre delincuentes y un recurso infructuoso que dio lugar a una pena de desaparición. “LockBit ha sido bloqueado en (del red oscura) y luego cayó. “Es un doble golpe”, resume.

LockBit y otras organizaciones similares utilizan Secuestro de datos como servicio (RaaS). Según la empresa de seguridad Kaspersky, se trata de programas a los que se accede a través del archivo red oscura, como las aplicaciones habituales de entornos de trabajo web convencionales o limpios. “Los interesados ​​dejan un depósito para utilizar los programas contratados. «Los pagos del rescate se dividen entre el equipo de desarrolladores de LockBit y los atacantes, quienes reciben hasta tres cuartas partes de la extorsión una semana después si se han logrado los objetivos».

Shaykevich informa que la disputa que dio lugar a la demanda contra LockBit ascendió a 20 millones de euros. “La reputación dentro Secuestro de datos Es lo más importante”, comenta el responsable de amenazas de Check Point para explicar cómo un desacuerdo entre delincuentes llevó a la caída de un gigante del cibercrimen.

Una de las últimas víctimas del grupo fue el Ayuntamiento de Sevilla, al que LockBit solicitó el pasado mes de septiembre más de un millón y medio de euros para la recuperación de los sistemas informáticos municipales. El concejal de Transformación Digital, Juan Bueno, afirmó tras el secuestro que los agresores eran “de origen holandés”.

El suceso y la primera atribución del concejal, reseñada por numerosos medios, demostró que el Ayuntamiento no contaba con las protecciones necesarias y que el responsable de Transformación Digital no conocía LockBit, «la organización de Secuestro de datos más prolífico del mundo”, según el Ministro del Interior británico, James Cleverly.

«¿De Holanda? No, no, no. La mayoría tiene su base en Rusia. Los dos arrestados en Polonia y Ucrania no son los miembros clave que están en Rusia», dice Shaykevich.

Este falso origen holandés hacía referencia a la ubicación del último servidor de donde procedía el correo electrónico con el enlace malicioso que propició el secuestro. Estos sistemas informáticos para el tráfico de datos, en red oscura, Se utilizan para un cifrado posterior que impide el seguimiento. Según la NCA, la operación crono Esto llevó al desmantelamiento de 28 servidores LockBit.

Posible resurgimiento

Sin embargo, el juicio en la internet oscura y la posterior operación policial internacional no suponen el fin de toda la infraestructura LockBit, que aspira a seguir en el mercado de los ataques de secuestro y extorsión porque representan, según estimaciones de Shaykevich, más de 200 millones. gente. euros de ingresos cada año.

Un presunto líder del grupo afirmó en un comunicado que la intervención policial fue posible debido a una «vulnerabilidad en el lenguaje de programación PHP». Este nombre hace referencia al sistema de preprocesador de hipertexto de código abierto, común en el desarrollo de páginas web. «Todos los demás servidores con blogs de respaldo que no tenían PHP instalado no se vieron afectados y continuarán proporcionando datos robados a las empresas atacadas», se lee en la supuesta declaración en inglés y ruso. pirata.

Las firmas de seguridad ya se han hecho cargo de estos intentos de reconsolidación, pero cuestionan la viabilidad de continuar con el mismo nombre tras la crisis de reputación criminal generada por la polémica judicial. red oscura y tras mostrar una vulnerabilidad explotada por la policía internacional. “Hasta que la gente no sea arrestada, lo más probable es que cambien y construyan una nueva organización con un nuevo nombre. Pero el paso que se ha dado es importante y demuestra que la aplicación de la ley funciona y que se puede castigar”, explica Shaykevich.

Christopher Asher Wray, director del FBI, está de acuerdo: “Esta operación (crono) demuestra tanto nuestra capacidad como nuestro compromiso para defender la ciberseguridad de cualquier actor malicioso que busque influir en nuestra forma de vida. «Continuaremos trabajando con nuestros aliados nacionales e internacionales para identificar, contrarrestar y disuadir las amenazas cibernéticas y responsabilizar a los responsables».

puedes seguir La tecnología de EL PAÍS En Facebook Y X o regístrate aquí para recibir el nuestro boletín semanal.

Regístrate para continuar leyendo

Leer sin límites

_