Explicación
Este año ha sido particularmente agitado hasta ahora en el mundo del ransomware, con la incautación y el desmantelamiento de las operaciones de grandes grupos de ransomware, incluido LockBit. Las estrategias utilizadas para derrotar a estos grupos fueron cuidadosamente planificadas y ejecutadas, socavando con éxito a los expertos en cibercrimen más experimentados.
La lucha contra el ransomware se ha sentido como una batalla cuesta arriba durante años. Cada eliminación de ransomware genera inevitablemente críticas de que estas acciones son temporales, lo que da como resultado que los grupos se reagrupen y regresen.
Pero durante el año pasado, los esfuerzos de cooperación internacional que utilizaron nuevas tácticas por parte de las fuerzas del orden dieron lugar a algunas de las mayores redadas de la historia. ¿Está empezando a cambiar el equilibrio de poder?
Desarrollo de estrategias de aplicación de la ley
Para seguir prosperando en un entorno en el que los grupos de delitos cibernéticos se adaptan y evolucionan constantemente, las fuerzas del orden han tenido que cambiar su enfoque. Si bien las redadas anteriores inicialmente tuvieron éxito en frustrar a las bandas criminales a nivel técnico, las autoridades se dieron cuenta de que necesitaban ir más allá y pensar fuera de lo común.
Además, los equipos anti-ransomware han reconocido el hecho de que la reputación y la confianza (de manera algo contradictoria) son bienes valiosos en la web oscura y están enfocados en socavar públicamente la credibilidad de un grupo.
Se implementó un nuevo enfoque por parte de las fuerzas del orden en la Operación Cronos, una operación para desbaratar LockBit, uno de los grupos de ransomware más activos.
La redada, en la que participaron agencias policiales de 10 países, resultó en la incautación de 34 servidores, la congelación de 200 cuentas de criptomonedas y el arresto de dos personas, pero eso no es todo.
La Agencia Nacional contra el Crimen (NCA) utilizó el sitio LockBits secuestrado para llevar a cabo operaciones psicológicas, publicando imágenes de los sistemas de gestión de LockBit, filtrando conversaciones internas e infiltrándose en 194 miembros “afiliados” de LockBit que publicaron el nombre de usuario y la información de inicio de sesión. Luego apareció un cronómetro de cuenta regresiva en el sitio web de LockBit cuando se reveló la identidad del líder de la pandilla, “LockBitSupp”, presentándose finalmente como Dmitry Khoroshev. Las autoridades también sugirieron que cooperó divulgando detalles relevantes, lo que generó aún más sospechas entre los conocedores de la web oscura.
Cuando los miembros de LockBit iniciaron sesión en el sistema, fueron recibidos con un mensaje personalizado informándoles que las autoridades tenían información detallada sobre sus direcciones IP, detalles de su billetera de criptomonedas, chats internos e información personal.
La estrategia de aplicación de la ley dañó la reputación de LockBit y destacó sus vulnerabilidades. La adquisición del sitio web expuso las debilidades de la infraestructura, la identidad del líder de LockBit quedó expuesta y se demostró que su seguridad operativa era débil, y la filtración de información de afiliados aumentó los riesgos de estar asociado con LockBit. Estos métodos dañaron aún más la reputación de LockBit. Aunque el grupo todavía está activo, datos recientes muestran que el número promedio de ataques mensuales contra LockBit en el Reino Unido ha disminuido un 73% desde febrero.
El cierre de LockBit tuvo un efecto dominó, atrayendo mucha atención a toda la industria del ransomware y enviando el mensaje de que si se puede cerrar LockBit, cualquiera puede ser el siguiente. Dirigirse a los grupos de ransomware más grandes envió el mensaje de que ningún grupo es intocable para las fuerzas del orden.
Dos semanas después, el segundo grupo de ransomware más grande, BlackCat, afirmó haber sido frustrado por las autoridades y subió un cartel de incautación falso. Sin embargo, las autoridades rápidamente negaron su participación. De hecho, el grupo parece haberse disuelto después de un ataque de ransomware a Change Healthcare, en el que robó grandes sumas de dinero de empresas afiliadas. El momento de la salida de BlackCat indica una posible reacción al cierre de LockBit y una renovada sensación de miedo sobre la web oscura.
¿Qué pasa después?
Es un logro importante acabar con algunos de los grupos de ransomware más peligrosos y activos del mundo, incluidos LockBit y BlackCat, que han arrasado en la industria del ransomware en los últimos años.
Por supuesto, estos éxitos no condujeron inmediatamente al colapso del sector clandestino del ransomware. De hecho, nuestras estadísticas muestran que hubo 73 grupos de ransomware activos en la primera mitad de 2024 en comparación con el mismo período de 2023, un aumento del 56 % en la cantidad de grupos de ransomware.
Pero a pesar del crecimiento del grupo, hubo una disminución del 16% en las víctimas incluidas en la lista desde finales de 2023 hasta principios de 2024, lo que refleja nuevas tácticas para contrarrestar a los grupos grandes. Esto demuestra que hubo un efecto visible. Lo que en realidad estamos observando parece ser una diversificación más que un crecimiento en el panorama del ransomware.
Un informe reciente de Europol también destacó la fragmentación del panorama del ransomware. Si bien la amenaza ya no proviene de los tres o cuatro principales grupos de ransomware como servicio (RaaS), los grupos afiliados que lideraron el éxodo masivo comenzaron sus propias operaciones y crearon su propio ransomware. Estamos desarrollando herramientas de software para reducirlo. dependencia de los grandes actores.
Esto crea desafíos únicos para los profesionales de la seguridad. La diversificación del ecosistema de ransomware supone una diversificación de las situaciones a las que deben enfrentarse los equipos de ciberseguridad. Las cosas están cambiando rápidamente en el mundo del ransomware, por lo que es más importante que nunca recopilar información actualizada sobre los grupos de ransomware.
La amenaza del ransomware no va a desaparecer. Pero al ajustar sus tácticas, las fuerzas del orden ciertamente hicieron mella y pueden haber dado a los expertos en seguridad un respiro al eliminar a algunos de los mayores adversarios de la industria del ransomware.
https://www.darkreading.com/cybersecurity-operations/how-law-enforcement-ransomware-strategies-are-evolving
