Operación Cronos tumba a la banda de ransomware Lockbit
El día de ayer se llevó a cabo una operación internacional coordinada entre organismos gubernamentales de Estados Unidos, Gran Bretaña, Europol y aliados de 10 países, que permitió tumbar una parte importante de la infraestructura de la banda de ransomware Lockbit, la cual fue denominada como Cronos. En dicha operación, las fuerzas del orden fueron capaces de tomar el control de 34 servidores, entre ellos, el que alojaba el portal de negociación con las víctimas, además congelar más de 200 cuentas o billeteras de criptomoneadas utilizadas para obtener dinero de las víctimas, también se sumaron varios arrestos concretados y otros en curso.
Lockbit es una de las bandas de ransomware más activas, con la mayor cantidad de víctimas conocidas en todo el mundo, afectando a empresas de todos los tamaños, muchas de esas empresas víctimas son de México. Cabe destacar que prácticamente todas las estadísticas publicadas, hasta el momento, se basaban en los datos públicos del portal de Lockbit y/o de aquellas víctimas que reportaban los ataques, por lo que es posible que el número real del impacto sea mucho mayor. De acuerdo a su portal, tenían una cuota de alrededor del 25% del mercado de ransomware, seguido por AlphV/BlackCat con alrededor del 8,5%.
Se trata de un programa del tipo Ransomware-como-Servicio (RaaS), surgido en Enero del 2020. Se había lanzado el servicio con LockBit 1.0, pero desde allí habían lanzado versiones nuevas conocidas como LockBit 2.0 (LockBit Red), LockBit 3.0 (LockBit Black), LockBit Linux/ESXI, LockBit Green e incluso ya estaban trabajando en el desarrollo del último lanzamiento LockBit 4.0. Es una de las bandas pioneras en abordar el ransomware como una oportunidad de negocio global y que alineó sus operaciones de manera escalable a través de afiliados, con un ritmo de crecimiento exponencial que permitió generar un impacto enorme, mediante la interrupción de miles de negocios y causando enormes pérdidas financieras, directa o indirectamente, así como un impacto negativo en las vidas de muchísimos afectados. Se estima que las ganancias del grupo criminal superan los 90 millones de USD.
En cuanto a las tácticas, técnicas y herramientas (TTPs) de Lockbit y sus afiliados, sus vectores de acceso inicial a las redes de las víctimas eran diversos y dependía de cada afiliado, por lo general, explotaban vulnerabilidades conocidas de dispositivos expuestos a Internet – como Router de borde o Firewall de distintos proveedores – para posteriormente infiltrarse hacia los sistemas internos de la red. Las principales vulnerabilidades que se conoce que han sido explotadas por la banda son:
- CVE-2021-22986, F5 iControl REST vulnerabilidad de ejecución remota de Código no autenticado
- CVE-2023-0669: Fortra GoAnyhwere Managed File Transfer (MFT) vulnerabilidad de ejecución remota de Código
- CVE-2023-27350: PaperCut MF/NG Vulnerabilidad de control de acceso deficiente
- CVE-2021-44228: Apache Log4j2 Vulnerabilidad de ejecución remota de código
- CVE-2021-22986: F5 BIG-IP and BIG-IQ Centralized Management iControl REST Vulnerabilidad de ejecución remota de Código
- CVE-2020-1472: NetLogon vulnerabilidad de escalación de privilegios
- CVE-2019-0708: Microsoft Remote Desktop Services (RDP) vulnerabilidad de ejecución remota de código
- CVE-2018-13379: Fortinet FortiOS Secure Sockets Layer (SSL) Virtual Private Network (VPN) vulnerabilidad de Path Traversal
Al igual que muchas de las bandas de ransomware actuales, una vez comprometido el primer equipo de la red, buscan utilizar herramientas conocidas y, aparentemente confiables, que a veces incluso ya están presentes en los equipos de la víctima, ya que también son utilizados por el equipo de TI en funciones administrativas, tales como TeamViewer, AnyDesk, FileZilla, WinSCP, RClone, PuTTY, Microsoft Sysinternals PsExec, MEGA Sync, Advanced-IPScanner, etc. Esta táctica se conoce como “Living-off-the-Land” (LotL), que hoy en día supone una de las mayores dificultades para los expertos de ciberseguridad, debido a que estos procesos y herramientas pueden camuflarse como actividad legítima y pasan desapercibidos aún para los equipos de monitoreo.
De acuerdo a la información extraoficial, proveniente de los propios operadores de Lockbit, las fuerzas del orden aprovecharon una vulnerabilidad de ejecución remota de código (RCE) en PHP 8.0.* – CVE-2023-3824 – una vulnerabilidad de stack buffer overflow (desbordamiento de pila) que afectaba a su portal. Habiendo tomado el control de la infraestructura, las fuerzas del orden pudieron obtener una mirada interna de los portales de operaciones y negociación de la banda. Varios de estos sitios fueron publicadas por las fuerzas del orden , de manera a entender y estudiar la dinámica del cibercrimen.
Entre otras cosas, se pudo evidenciar que los criminales han guardado información y datos de las víctimas, incluyendo los casos de que éstos han pagado, clara violación a lo prometido durante la negociación. Esto confirma las sospechas de que, muchas veces, acceder el pago no es una garantía de que los criminales efectivamente eliminen los archivos exfiltrados, los cuales posiblemente los utilicen luego para otros fines.
Como parte de la Operación Cronos, las fuerzas del orden también lograron recuperar más de 1.000 claves de descifrado de los servidores LockBit incautados, mediante las cuales desarrollaron una herramienta de descifrado LockBit 3.0, el cual ya está disponible de manera gratuita a través del portal No More Ransom: https://www.nomoreransom.org/en/decryption-tools.html
En caso de que su organización haya sido víctima de Lockbit y que conserva todavía los archivos cifrados que aún no ha podido recuperar, recomendamos utilizar dicha herramienta para tratar de descifrarlo.
El FBI habilitó un formulario para todas aquellas víctimas de Lockbit que deseen participar en el enjuiciamiento de los miembros de la banda, el mismo va a ser llevado a cabo en los Estados Unidos. Dichas víctimas pueden participar ya sea como parte de la declaración de impacto o buscando una restitución por los daños, o también para aquellas víctimas que requieren información o asistencia. El formulario está habilitado para víctimas tanto dentro de EEUU como también fuera del territorio: https://lockbitvictims.ic3.gov.
Si bien, es posible que la banda busque reagruparse y continuar con sus operaciones criminales, esta operación supone un golpe fuerte al cibercrimen y emite un mensaje importante contra el sentimiento de impunidad de los cibercriminales.
Fuentes:
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a
https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant