• Mié. Abr 24th, 2024

    Una condena entre mafias de la “dark web” derribó al grupo de ciberdelincuentes que atacó el Ayuntamiento de Sevilla y miles de entidades | Tecnología

    Azanías Pelayo

    PorAzanías Pelayo

    Mar 2, 2024
    Notificación de intervención policial en la página de acceso de LockBit tras la acción internacional contra el grupo de secuestro y extorsión el pasado mes de febrero.DOCUMENTO (vía REUTERS)

    Allá Red oscura, la red oscura oculta a los motores de búsqueda, que oculta la IP (identidad de los dispositivos con los que trabajamos) y accesible sólo a través de navegadores específicos, no es un mundo sin reglas, aunque sí es la plataforma de actividades delictivas informáticas, pedofilia, humanas. tráfico. o venta ilegal de armas y drogas. Como todas las mafias, tienen sus reglas y violarlas conlleva sanciones. La violación de una de estas leyes, la que regulaba la distribución de dinero obtenido mediante extorsión, derribó a LockBit, la mayor organización de secuestro y chantaje. Entre los numerosos delitos que se le atribuyen desde su detección en 2019, cerró las páginas web del Ayuntamiento de Sevilla, el Puerto de Lisboa, la Oficina de Presupuestos de California, un hospital infantil en Toronto y miles de comercios. La operación policial internacional contra este complot, que se saldó con dos detenciones en Europa del Este, fue posible tras su condena por asociación criminal. El grupo criminal ahora intenta reaparecer.

    La Agencia Nacional contra el Crimen (NCA) del Reino Unido anunció el 20 de febrero que había «tomado el control de los servicios LockBit» después de infiltrarse en la red mafiosa en una operación denominada Cronos. En coordinación con Europol, dos personas fueron arrestadas en Polonia y Ucrania y se confiscaron 200 cuentas de criptomonedas. Otros cuatro presuntos malos actores han sido acusados ​​en Estados Unidos.

    “Esta investigación contra el grupo de cibercrimen más dañino del mundo demuestra que ninguna operación criminal, dondequiera que tenga lugar y sin importar cuán avanzada sea, está fuera del alcance de la agencia y nuestros socios. Nosotros tenemos pirata a los piratas (piratas informáticos); tomó el control de su infraestructura, obtuvo su código fuente y descifró las claves que ayudarán a las víctimas a descifrar sus sistemas. A partir de hoy (20 de febrero), LockBit está bloqueado”, dijo el director de la NCA, Graeme Biggar.

    El director de la Agencia Federal de Investigaciones (FBI) de Estados Unidos comparte la euforia: “El FBI y nuestros socios han logrado alterar el ecosistema criminal LockBit, que representa una de las variantes de Secuestro de datos (extorsión por secuestro de sistemas informáticos) la más prolífica del mundo.

    Sergey Shaykevich, director del Check Point Threat Group.CP

    Pero esta operación policial internacional marca el final de un proceso ya iniciado en Red oscura y este fue el primer detonante para el desmantelamiento del equipo criminal. Como describió Sergey Shaykevich, director del Check Point Threat Group, en una reunión de la multinacional en Viena (CPX), el origen del colapso fue una disputa sobre los beneficios de la extorsión que se resolvió durante «un juicio entre criminales y una apelación». sin éxito lo que dio lugar a una sentencia de desaparición. «LockBit ha sido bloqueado en los foros (desde Red oscura) luego cayó. “Es un doble golpe”, resume.

    LockBit y otras organizaciones similares utilizan Secuestro de datos como servicio (RaaS). Según la empresa de seguridad Kaspersky, se trata de programas a los que se puede acceder a través del Red oscura, como las aplicaciones habituales de entornos de trabajo web clásicos o limpios. “Los interesados ​​dejan un depósito para utilizar los programas suscritos. «Los pagos del rescate se comparten entre el equipo de desarrolladores de LockBit y los atacantes, quienes reciben hasta tres cuartas partes de la extorsión una semana después si se han cumplido los objetivos».

    Shaykevich informa que la disputa que dio lugar a la demanda contra LockBit ascendió a 20 millones de euros. “La reputación en Secuestro de datos Eso es lo más importante”, afirma el gestor de amenazas de Check Point, explicando cómo un desacuerdo entre delincuentes llevó a la caída de un gigante del cibercrimen.

    Una de las últimas víctimas del grupo fue el Ayuntamiento de Sevilla, al que LockBit reclamó el pasado mes de septiembre más de un millón y medio de euros para la recuperación de los sistemas informáticos municipales. El asesor de Transformación Digital, Juan Bueno, dijo tras el secuestro que los atacantes eran “de origen holandés”.

    El suceso y la primera atribución del concejal, retomada por numerosos medios, demostró que el Ayuntamiento carecía de la protección necesaria y que el responsable de Transformación Digital desconocía LockBit, «la organización de Secuestro de datos el más prolífico del mundo”, según el Ministro del Interior británico, James Cleverly.

    «¿Desde Holanda? No no no. La mayoría tiene su sede en Rusia. Las dos personas arrestadas en Polonia y Ucrania no son los miembros clave que están en Rusia”, explica Shaykevitch.

    Este falso origen holandés hacía referencia a la ubicación del último servidor donde se originó el correo electrónico que contenía el enlace malicioso que propició el secuestro. Estos sistemas informáticos para el tráfico de datos, en el la red oscura, Se utilizan para cifrado sucesivo que impide el seguimiento. Según el ANC, la operación Cronos Esto provocó la caída de 28 servidores LockBit.

    Un posible resurgimiento

    Sin embargo, el juicio por la internet oscura y la posterior operación policial internacional no implican el fin de toda la infraestructura de LockBit, que aspira a seguir en el mercado del secuestro y la extorsión ya que representan, según estimaciones de Shaykevich, más de 200 millones. euros de ingresos cada año.

    Un presunto líder del grupo dijo en un comunicado que la intervención policial fue posible debido a una “vulnerabilidad en el lenguaje de programación PHP”. Este nombre hace referencia al sistema de preprocesador de hipertexto de código abierto, común en el desarrollo de páginas web. «Todos los demás servidores con blogs de respaldo que no tienen PHP instalado no se han visto afectados y seguirán proporcionando datos robados a las empresas atacadas», se lee en la supuesta declaración en inglés y ruso. pirata.

    Las empresas de seguridad ya han detectado estos intentos de recomposición, pero cuestionan la viabilidad de continuar bajo el mismo nombre tras la crisis de reputación criminal generada por el conflicto en el Red oscura y tras mostrar una vulnerabilidad explotada por la policía internacional. “Hasta que la gente no sea arrestada, lo más probable es que cambien y construyan una nueva organización con un nuevo nombre. Pero el paso que se ha dado es importante y demuestra que la policía trabaja y que podemos ser castigados”, explica Shaykevitch.

    Christopher Asher Wray, director del FBI, está de acuerdo: “Esta operación (Cronos) demuestra nuestra capacidad y compromiso para defender la ciberseguridad contra cualquier actor malicioso que busque afectar nuestra forma de vivir. “Continuaremos trabajando con nuestros aliados nacionales e internacionales para identificar, frustrar y disuadir las amenazas cibernéticas, y responsabilizar a sus perpetradores. »

    puedes seguir EL PAÍS Tecnología dentro Facebook Y X o regístrate aquí para recibir nuestra boletín semanal.

    Suscríbete para seguir leyendo

    Leer sin límites

    _