A pesar de haber sido derribado y humillado por la Operación Cronos coordinada por la Agencia Nacional contra el Crimen (NCA) en febrero de 2024, un individuo desconocido asociado o que afirma representar a la banda de ransomware LockBit ha revelado la tapadera para anunciar el lanzamiento inminente de un nuevo malware de casillero, LockBit 4.0.
En capturas de pantalla tomadas de la web oscura que circularon ampliamente en las redes sociales durante el último día, el supuesto ciberdelincuente invitó a los interesados a “registrarse y comenzar su viaje pentester multimillonario en 5 minutos con nosotros”, prometiéndoles acceso a superdeportivos y mujer. Al momento de escribir este artículo, ninguno de los enlaces en la publicación dirige a ninguna parte, mientras que un cronómetro de cuenta regresiva apunta a una fecha de “lanzamiento” del 3 de febrero de 2025.
Robert Fitzsimons, ingeniero jefe de inteligencia de amenazas en Searchlight Cyber, dijo que era difícil decir en esta etapa qué implicaba LockBit 4.0: si la pandilla estaba lanzando un nuevo sitio de filtración, si el antiguo había sido confiscado o si había realizado cambios en su sitio. ransomware.
“Vale la pena señalar que LockBit ya ha pasado por muchas iteraciones, su marca actual es LockBit 3.0. Por lo tanto, no es sorprendente que LockBit se actualice una vez más y, dado el daño a la marca infligido por la acción policial Operación Cronos a principios de este año, existe claramente una motivación para que LockBit cambie las cosas y restablezca sus credenciales, teniendo en cuenta que el sitio LockBit 3.0 fue secuestrado y desfigurado por las fuerzas del orden”, dijo Fitzsimons.
“Ha habido una disminución en la producción de víctimas de LockBit desde la Operación Cronos, pero esta publicación muestra que todavía está tratando de atraer afiliados y continuar con sus operaciones”.
El repentino anuncio de la pandilla se produce pocos días después de que se supiera que el gobierno de Estados Unidos está buscando la extradición de Israel de un presunto agente de LockBit llamado Rotislav Panev para enfrentar un juicio por fraude electrónico y delitos cibernéticos.
Panev fue arrestado en Haifa, Israel, en agosto; según el sitio de noticias israelí Ynet, que fue el primero en informar sobre la solicitud de extradición, las noticias sobre su arresto se han restringido hasta ahora para evitar alertar a otros asociados de LockBit que puedan estar ubicados afuera. Rusia y darles la oportunidad de escapar a la relativa seguridad que les brindaba allí.
Panev está acusado de trabajar como desarrollador de software para LockBit y puede haber creado el mecanismo mediante el cual la pandilla pudo imprimir notas de rescate en impresoras conectadas a los sistemas comprometidos. El abogado de Panev dijo a Ynet que él era un técnico en informática y que nunca estuvo al tanto ni estuvo involucrado en ningún fraude, extorsión o lavado de dinero.
Computer Weekly entiende que una audiencia de extradición en este caso está programada para enero de 2025.
¿LockBit abajo pero no afuera?
Desde que se desarrolló la Operación Cronos a principios de 2024, la NCA y otras agencias que participaron en el derribo han estado proporcionando más información sobre la infame operación cibercriminal.
En mayo, la NCA desenmascaró a su líder, LockBitSupp, nombrándolo como el ciudadano ruso Dmitry Khoroshev y aplicándole congelaciones de activos y prohibiciones de viaje, al mismo tiempo que una acusación en Estados Unidos en la que se le han acusado de un total de 26 cargos de fraude, daños y perjuicios. a ordenadores protegidos y extorsión. Khoroshev sigue prófugo a pesar de una recompensa multimillonaria, y LockBitSupp ha negado que esa sea su verdadera identidad.
Más adelante en el año, la NCA nombró y avergonzó a un afiliado de alto perfil de LockBit, Aleksandr Ryzhenkov, también conocido como Beverley, quien también fue un actor clave en la operación Evil Corp y sirvió como secuaz de su líder Maksim Yakubets.
A pesar del aparente éxito de la Operación Cronos, la historia reciente ha demostrado que incluso cuando las operaciones de aplicación de la ley pueden ser efectivas para interrumpir sus actividades, los ciberdelincuentes son notablemente resistentes y a menudo pueden reanudar sus operaciones con relativa facilidad.
Aunque actualmente no es posible determinar qué planea realmente la persona detrás del anuncio de LockBit, los defensores deben estar alerta a la posibilidad de un ataque en las próximas semanas y tomar medidas anti-ransomware apropiadas siempre que sea posible.