A principios de esta semana, el mundo de la ciberseguridad fue sacudido por la noticia de una posible desarticulación del grupo cibercriminal más activo hasta la fecha en el ámbito del ransomware: LockBit. Sin embargo, las recientes revelaciones han arrojado luz sobre la persistencia y la audacia de este grupo, desafiando las expectativas y manteniéndose operativo a pesar de los golpes recibidos.



El FBI, en colaboración con otras agencias de seguridad, había tomado medidas contra los servidores del grupo, en un intento aparente de desmantelar sus operaciones. Se especulaba con cierta cautela, dado que LockBit había afirmado poseer infraestructura operativa en línea. Sin embargo, este fin de semana, el grupo emitió un comunicado desafiante, publicado en samples.vx-underground.org, confirmando su actividad continua.

En este comunicado, denominado "Operación Cronos", LockBit detalla los eventos desde la perspectiva del actor de amenazas. Revelan que las autoridades aprovecharon una vulnerabilidad en sus servidores con PHP 8.1.2, identificada como CVE-2023-3824, para tomar el control de parte de su infraestructura. Aunque el FBI asegura haber confiscado 1000 descifradores de ransomware, LockBit afirma que más de 20.000 están disponibles y que el material incautado representa solo una fracción de su capacidad.

La motivación detrás de esta operación, según LockBit, fue el incidente de fuga de datos en el Condado de Fulton, Estados Unidos, donde, según ellos, se encuentran documentos relevantes relacionados con un procedimiento contra Donald Trump, que podría tener implicaciones en las elecciones estadounidenses. Aunque niegan la intención de perjudicar al candidato republicano, el grupo hace una declaración política sin precedentes al amenazar con lanzar más ataques contra dominios gubernamentales .gov de EE. UU.

El actor de amenazas afirma que esto es un desafío personal y se muestra más activo que nunca. Han tomado medidas para proteger a sus afiliados, instalando la última versión de PHP y fortificando su infraestructura y paneles de control. Incluso desafían al profesional de pentesting del FBI, invitándolo a unirse al grupo si su salario es inferior a un millón de dólares, lo que subraya la confianza y la osadía del grupo.

Para añadir más peso a sus afirmaciones, LockBit revela nuevos enlaces a sus blogs en la dark web, que han sido verificados como activos. Esto refuta cualquier sugerencia de que el comunicado podría ser falso o una estratagema para minimizar la "Operación Cronos".

En resumen, LockBit 2.0 emerge como un desafío persistente para las autoridades de seguridad cibernética. Su capacidad para adaptarse, resistir y continuar operando, incluso bajo la presión de la aplicación de la ley, subraya la naturaleza dinámica y en constante evolución de la amenaza cibernética. En un mundo donde la tecnología avanza rápidamente, la lucha contra el ransomware y otros delitos cibernéticos sigue siendo un desafío crucial y en constante evolución.