Pues estoy hablando de lo que lleva ya unos días en boca de todos y es el duro golpe que se le ha asestado a la organización de LOCKBIT en los últimos días por parte de una operación coordinada internacional (Operación Chronos).
Es una buena noticia que la colaboración internacional haya conseguido tomar el control de los servidores de LOCKBIT y por tanto es cierto que ha asestado un duro golpe a la organización, además siempre que hablamos de colaboración internacional con el objetivo de parar o al menos frenar a los ciberdelincuentes, eso ya de por si mismo es un logro, sin el cual es imposible llevar a cabo ningún tipo de acción contra este tipo de bandas.
Por otro lado, también según la información que hay disponible tras tomar el control de los servidores de LOCKBIT, evidentemente se han hecho con sus claves y por tanto será posible descifrar datos de algunos clientes que todavía los hayan mantenido, la NCA (Agencia Nacional Contra el Crimen del Reino Unido) se esta encargando de contactar con los afectados para suministrar dichas claves y estas se espera que sean publicadas en “No More Ransomware” la conocida web donde se pueden encontrar soluciones para el descifrado de múltiples malwares de este tipo.
Esto que es una recomendación, hágase hincapié en que es una muy buena práctica mantener esos datos cifrados si hemos sido víctimas por desgracia de cualquier ransomware, al margen de que se haya podido recuperar parcialmente de backups o no la información original, en caso negativo con mayor razón y salvo si la recuperación ha sido completa (rara vez lo será) guarda esos datos. No se puede descartar que a futuro ya sea por este tipo de operaciones, porque haya alguna filtración o alguna herramienta o incluso mejoras en procesos, algoritmos de descifrado, descubrimiento de algún bug, etc., pero la posibilidad por remota que parezca como se ha demostrado puede llegar a suponer la recuperación de los datos originales.
Evidentemente no todo el mundo podrá permitirse guardar esa información cifrada en un tiempo indefinido, dependerá del volumen de datos del que estamos hablando, esa capacidad de almacenamiento puede no estar en manos de cualquiera por su elevado coste, solo de grandes entidades u organismos que puedan permitirse el consumo de este espacio. A poco que se lo puedan permitir, ya sea un guardado como backup o archivado en algún medio más barato (aunque por favor, que sea fiable) puede merecernos la pena. Este inciso es también un recordatorio que este tipo de organizaciones atacan indiscriminadamente a grandes y pequeños, aunque suelen estar tan bien organizadas y conocen a sus objetivos, que son capaces de ajustar los costes de rescate a cada organización.
Hasta aquí las buenas noticias, según la información que circula al respecto, no parece que se haya acabado del todo con LOCKBIT o como mínimo no queda claro del todo (después de consultar múltiples fuentes).
Según las autoridades después de infiltrarse en los servidores, consiguieron tomar el control de has 34 servidores ubicados en diferentes países: Alemania, Finlandia, Países Bajos, Francia, Australia, Estados Unidos, Reino Unido y Suiza, que ya no están operativos, además se han detenido a dos personas. Pero según se comenta tienen una infraestructura de backup (un plan de continuidad de negocio que ya quisieran muchas organizaciones) y ya vuelven a tener servidores disponibles desde donde seguir realizando sus actuaciones ilegales, pero todo esto ahora mismo es rumorología, habrá que esperar para obtener confirmación.
Es más, en lo que ha trascendido hasta ahora, el sistema que tenían montado también es digno de mención, si no es porque fueran actores maliciosos, habría que felicitarlos por un sistema que estaba tan bien montado, si bien parece que han caído por no parchear/actualizar su PHP (tenían una vulnerabilidad que permitía la ejecución de código remoto, en concreto CVE-2023-2824 con una valoración de crítica, puntuación CVSS: 9.8), tenían un servicio de gestión de clientes (empresas y organismos extorsionados) que ya quisieran muchos grandes servicios comerciales legítimos tener.
Este grupo LOCKBIT se dedicaba desde 2019 en concreto a proporcionar el malware (ransomware) en un modelo RaaS (Ransomware As a Service), lo que vendría a ser un SaaS (si fuera software en modo servicio y legítimo).
Así pues, como conclusión, si toda esta información que está circulando se confirma, sabremos si es una victoria a medias o al menos un poco agridulce por el hecho de no haber conseguido desmantelar completamente a esta organización o si finalmente con la información que puedan hallar en los servidores se pueda acabar con toda la banda e incluso otros grupos de ciberdelincuentes asociados, LOCKBIT ha sido uno de los grupos más prolíficos en los últimos tiempos y su malware ha conseguido infectar multitud de organismos y empresas con perdidas millonarias.