Chainalysis.- El 20 de febrero de 2024, la Agencia Nacional contra el Crimen (NCA) del Reino Unido , junto con el  Departamento de Justicia de EE. UU. (DOJ) , anunciaron la detención de Lockbit, que ha sido uno de los grupos de ransomware como servicio (RaaS) más prolíficos. funcionando durante los últimos años. 

En esta operación, la NCA, el FBI y los socios internacionales encargados de hacer cumplir la ley trabajaron juntos para confiscar servidores y sitios web públicos que eran parte integral de las operaciones de Lockbit, y obtuvieron claves de descifrado para que las víctimas de Lockbit recuperaran sus datos sin pagar un rescate. 

El Departamento de Justicia también anunció cargos contra Artur Sungatov e Ivan Kondratyev, dos ciudadanos rusos acusados ​​de actuar como afiliados de Lockbit RaaS y utilizar la cepa en ataques de ransomware. Además, la OFAC sancionó a ambas personas por sus actividades de ransomware e incluyó diez direcciones de criptomonedas en total como identificadores de la Lista SDN. Estas acciones se producen tras la acusación y sanción en mayo de 2023 del desarrollador de ransomware afiliado a Lockbit, Mikhail Matveev .

Estamos orgullosos de compartir que la NCA utilizó herramientas de Chainalysis para llevar a cabo esta investigación. A continuación, hablaremos más sobre la posición única que ocupó Lockbit dentro del ecosistema de ransomware y por qué esta acción fue importante. 

Lockbit fue una de las cepas de RaaS más utilizadas

Según el Departamento de Justicia, Lockbit atacó a más de 2.000 víctimas y obtuvo más de 120 millones de dólares en ingresos. Nuestros datos muestran que la prominencia de Lockbit dentro del ecosistema de ransomware creció rápidamente con el tiempo.

AñoPosición de Lockbit en ingresos por cepas de ransomware
20218
20224
20232
20242

Además, Lockbit estuvo entre las cepas más resistentes del ecosistema de ransomware desde el lanzamiento de RaaS y permaneció activa durante más tiempo que la mayoría de las otras cepas.

Como cepa RaaS , el malware Lockbit estaba disponible para que otros ciberdelincuentes conocidos como afiliados lo alquilaran para lanzar sus propios ataques de ransomware a cambio de una parte de los ingresos de esos ataques. Nuestros datos sugieren que Lockbit fue una de las cepas de RaaS más prolíficas y ampliamente utilizadas en funcionamiento, con potencialmente cientos de afiliados, incluidos muchos asociados con otras cepas destacadas. 

La voluntad de Lockbit de brindar servicios a tantos afiliados puede ser una de las razones del caos que los investigadores han observado dentro del grupo, como los continuos ataques del grupo contra hospitales incluso después de que los administradores principales prometieran dejar de atacar a los proveedores de atención médica, y un incidente en el que los administradores de Lockbit públicamente se negó a pagar a un afiliado por un ataque. Estos incidentes y la aparente incapacidad de coordinación pueden ser el resultado de una falta de investigación de antecedentes de los afiliados.

En ocasiones, los administradores de Lockbit realizaron trucos publicitarios cuyo valor parece cuestionable en comparación con el riesgo que suponen para la seguridad operativa del grupo. Por ejemplo, en 2022, un administrador de Lockbit conocido por el identificador en línea LockBitSupp anunció que pagaría 1000 dólares a cualquiera que se tatuara el logotipo de Lockbit . El análisis de la actividad en cadena de LockBitSupp durante este período sugiere que, sorprendentemente, muchos aceptaron la oferta. Podemos ver algunos de estos pagos en el gráfico del reactor Chainalysis a continuación.

Baste decir que un comportamiento de administrador como este y el listón aparentemente bajo para el acceso de afiliados a Lockbit no pintan al grupo como el más profesional en el ecosistema de ransomware.

Lockbit y riesgo de sanciones

Incluso antes de las recientes sanciones dirigidas explícitamente a los afiliados de Lockbit, la baja barrera de entrada de la cepa convirtió al RaaS en una cobertura atractiva para que los actores de amenazas confundieran sus vínculos con las sanciones. Por ejemplo, en junio de 2022, la empresa de ciberseguridad Mandiant publicó una investigación que sugería que la banda rusa de ransomware Evil Corp había comenzado a utilizar Lockbit. 

Mandiant posicionó esto como probablemente un esfuerzo de Evil Corp para disfrazarse, ya que en ese momento la propia conexión de Evil Corp con entidades rusas sancionadas estaba disminuyendo la disposición de sus víctimas a pagar rescates; puede leer nuestra investigación anterior sobre el cambio de marca de la cepa de ransomware para obtener más información al respecto. esta práctica. Los datos en cadena confirman la conexión entre Lockbit y Evil Corp, como vemos en el gráfico del reactor a continuación.

Aquí, vemos a Lockbit y otras dos cepas que han sido identificadas como cambios de marca de Evil Corp enviando fondos a la misma dirección de depósito de intercambio. 

De manera similar, también vemos evidencia en cadena de afiliados de Lockbit que trabajan con una cepa de ransomware iraní y depositan en un intercambio iraní, lo que sugiere que el afiliado de Lockbit en la foto es probablemente iraní. Irán es, por supuesto, una de las jurisdicciones más sancionadas del mundo. . 

Finalmente, el análisis de blockchain también muestra que un administrador de Lockbit también donó criptomonedas a un autoproclamado periodista militar prorruso con sede en Sebastopol conocido como Coronel Cassad. A través de las redes sociales, el coronel Cassad ha solicitado donaciones para las operaciones de los grupos de milicias rusas en las jurisdicciones sancionadas de Donetsk y Luhansk, como identificamos al principio de la guerra rusa contra Ucrania .

Los investigadores de ciberseguridad de Talos han escrito anteriormente sobre los vínculos entre el coronel Cassad y la unidad de piratería estatal rusa Fancy Bear, que ha sido sancionada por la UE .

La OFAC señala diez direcciones de criptomonedas en las sanciones contra los afiliados de Lockbit, Artur Sungatov e Ivan Kondratyev

En sus entradas de la Lista SDN para los afiliados de Lockbit Ivan Kondratyev y Artur Sungatov, la OFAC incluyó un total de diez direcciones de criptomonedas controladas por los dos individuos: nueve para Kondratyev y una para Sungatov. 

Las autoridades han eliminado a un actor importante en ransomware

Estas acciones policiales representan una gran victoria en la lucha contra el ransomware. Como hemos explorado anteriormente, Lockbit fue una de las cepas más prolíficas que operaron durante varios años: derribar su infraestructura y obtener claves de descifrado salvará a muchas organizaciones de dañinos ataques de ransomware. Felicitamos a todas las agencias involucradas.