La Policía Nacional, en una operación conjunta con el FBI, detenía este pasado viernes en el aeropuerto de Palma de Mallorca a un ciberestafador británico de 22 años, responsable del ataque informático a 45 empresas de Estados Unidos, para quien un juez español decretó prisión provisional. Esta detención llegaba diez días después de que el subdirector de la División Cibernética del FBI, Bryan Vorndran, destacase durante una reunión el 5 de junio la «interrupción continua» del grupo de ransomware LockBit e instase a las víctimas potenciales a comunicarse con el Centro de Quejas de Delitos en Internet del FBI.
Según explicó Vorndran en un discruso de apertura de la Conferencia de Boston sobre seguridad de 2024, el FBI tiene ya más de 7.000 claves de descifrado LockBit en su poder. «Podemos utilizar estas claves para ayudar a las víctimas a recuperar sus datos», señaló. Las víctimas potenciales de LockBit pueden rellenar un formulario visitando la página del FBI en lockbitvictims.ic3.gov. «Estamos averiguando quienes son las víctimas de LockBit y animando a cualquiera que sospeche que fue una víctima a visitar nuestro Centro de Denuncias de Delitos en Internet», añadió.
La variante del ransomware LockBit se ha utilizado en más de 2.400 ataques cibernéticos en todo el mundo, más de 1.800 de los cuales afectaron a víctimas en los Estados Unidos, añadió el especialista del FBI. Estos ataques se dirigieron a varios sectores y acumularon «miles de millones de dólares en daños», dijo Vorndran. En España la Policía Nacional detectó ya actividades de hackeo con este sistema en varios estudios de arquitectura a mitad de 2023 y emitió un comunicado para advertir a las empresas españolas de que no abriesen correos desconocidos o pinchasen en links sospechosos.
LOS ATAQUES PROVOCARON «MILES DE MILLONES DE DÓLARES EN DAÑOS», EXPLICÓ EL FBI
El alto cargo del FBI advirtió que en muchos casos los hackers retuvieron los datos de sus víctimas aunque incluso hubiesen pagado por el chantaje. Se refería casi en su mayor parte a los ciberdelincuentes rusos, prácticamente ahora inalcanzables por la guerra de Ucrania y la inexistencia de cooperación policial con las autoridades rusas, que los ignoran. Cuando los policías europeos logran desconectar los servidores y los sitios web desde donde operan, estos tardan solo un par de semanas en volver a los ataques. La última Operación Endgame de Interpol condujo a la detención de cuatro personas y al cierre de más de 100 servidores de malware en Europa y Norteamérica.
El detenido este viernes con la ayuda del FBI norteamericano es el líder de un grupo organizado dedicado al robo de información de empresas y de criptomonedas, y llegó a hacerse con el control de 391 bictoins por valor de más de 27 millones de dólares. Su modus operandi consistía en «técnicas de pishing a particulares y robar credenciales de acceso a empresas, que posteriormente utilizaban para acceder a las mismas y apoderarse de información sensible o para acceder a las carteras de criptomonedas de las víctimas y hacerse con ellas», según explicó la Policía Nacional en un comunicado.
La investigación se inició a finales de mayo, cuando la Oficina del FBI en Los Ángeles, a través de su enlace en España, solicitó información a la Policía Nacional sobre un ciudadano de nacionalidad británica que sospechaban que podía encontrarse en el país.
El investigado era, presuntamente, responsable de numerosos ataques informáticos a multitud de empresas de Estados Unidos. Además, el FBI informó que se había emitido una Orden Internacional de Detención (OID) contra el joven por parte de un Juzgado del Distrito Central de California. Por este motivo, se intensificaron las pesquisas tendentes a su localización, comprobando que se encontraba en Palma. El pasado 31 de mayo fue detenido.
OPERACIÓN CRONOS
En febrero de este mismo año una operación global de las fuerzas de seguridad, la Operación Cronos, dirigida por la National Crime Agency (NCA) del Reino Unido se infiltró en el grupo de ransomware LockBit -que según las autoridades ha robado más de 500 millones de dólares a víctimas a través de extorsiones- y desconectó sus sistemas. Los investigadores de la NCA publicaron el funcionamiento interno de LockBit, además de conversaciones internas y los nombres de usuario y datos de acceso de 194 miembros socios. En mayo además dieron los apellidos de estos socios. También anunciaron el nombre de LockBitSupp, el cerebro del grupo, que resultó ser un ciudadano ruso llamado Dimitry Yuryevich Khoroshev.
Todos los movimientos de los británicos se encaminaron a desacreditar LockBit y cuando los miembros iniciaban sesión recibían un mensaje de la NCA en el que se les informaba de que la Policía había recopilado su nombre de usuario, los datos de su monedero de criptomonedas, sus chats internos y con víctimas, y sus direcciones IP. Consiguieron que de los 194 socios solo volvieran a LockBit 69 de ellos.
En España las empresas conocidas y afectadas hasta el momento han sido Iberdrola, el Banco de Santander, Decathlon y Ticketmaster, aunque todos los ataques fueron desarrollados desde un mismo lugar, la nube de almacenamiento Snowflake. En el caso de Ticketmaster y el Santander reconocieron el robo de millones de registros, que incluían datos de clientes y empleados.
No se sabe y será difícil saberlo en el futuro cuáles son los datos exactos que se robaron y que seguramente ya estén a la venta en el mercado hacker. Lo que sí se conoce es cómo accedieron a Snowflake los ladrones de datos porque lo contó por escrito Brad Jones, director de Seguridad de la Información en Snowflake, en su blog. Dijo que habían accedido a través de la cuenta demo de un ex empleado, según contó la red de tecnología Wired.
