El miércoles 19 de febrero de 2025 marcó el primer aniversario de la Operación Cronos, una acción multinacional de aplicación de la ley cibernética dirigida por la Agencia Nacional del Crimen (NCA) del Reino Unido con el apoyo de socios globales, que interrumpió las actividades del notorio equipo de ransomware de Lockbit en una operación dirigida Tuvo un impacto duradero en la economía de ransomware.
Mirando hacia atrás a 2023 y antes, la efectividad e influencia de Lockbit no puede ser subestimada. Según la Unidad de Amenazas de Contra (CTU) en SecureWorks, ahora parte de Sophos, los ataques de Lockbit representaron el 25% de todas las víctimas cotizadas en los sitios de fuga de ransomware en 2023, con su competidor más cercano en ese momento, AlphV/BlackCat, que gestionan el 12% .
Lockbit atacó a las organizaciones en Gran Bretaña y en todo el mundo, con su víctima del Reino Unido posiblemente más prominente The Royal Mail, que rechazó un intento de extorsión de más de £ 60 millones, descrito en ese momento como “absurdo”, después de que el ransomware de la tripulación derribó los sistemas de TI en su Centro de distribución mundial de Heathrow en enero de 2023, paralizando las entregas internacionales durante semanas.
Golpe de estado
Al reflexionar sobre el éxito de la Operación Cronos, el investigador senior de Secureworks CTU, Tim Mitchell, dijo: “Cuando coordinamos nuestra investigación junto con la incautación de la policía del sitio de filtración de Lockbit el 19 de febrero de 2024, sabíamos que era un momento significativo en el tiempo en la lucha Cibernéticos.
“Fue el primer paso en una marcha constante de operaciones contra el ransomware, sus facilitadores y delitos cibernéticos más ampliamente. Y el resultado más obvio es la marca que queda en el paisaje, con afiliados que se dispersan a nuevos esquemas o recurren a operaciones independientes “.
Paul Foster, jefe de la Unidad de Crimen Cyber de la NCA, dijo que durante la investigación previa a la Operación Cronos, él también tenía la clara sensación de que la agencia estaba al borde de un importante golpe de estado.
“Sabíamos, en el contexto de ransomware, que teníamos una oportunidad única de tener un impacto significativo en la amenaza”, dijo a Computer Weekly. “¿Con qué frecuencia tienes la oportunidad de mirar el panorama de amenazas y decir que probablemente podamos sacar, si lo hacemos bien y bien, el 25% de esa amenaza?”
Greg Linares, ahora analista de amenazas principales del proveedor de plataforma de seguridad administrada con sede en EE. UU. Huntress, pero en ese momento trabajando en otro lugar, también recuerda claramente los eventos del 19 de febrero. “Teníamos la sensación de que esto iba a ocurrir”, dijo. “Teníamos contactos del FBI con los que trabajamos … pero no sabíamos lo grande que iba a ser. Y fue una operación masiva, fue muy bien ejecutada ”.
Pero, por supuesto, la acción inicial inmediata era solo una parte de la historia, y mucho dependía de entregar los golpes correctos en el momento correcto para maximizar los resultados esperados, no hacerlo arriesgaría las cosas contra la lucha o perder la oportunidad por completo.
Para obtener los mejores resultados, la NCA eligió ampliar significativamente el alcance de su actividad contra la pandilla.
“Podríamos haber puesto todo en tratar de averiguar quién estaba detrás de Lockbit y eliminar efectivamente el Kingpin”, dijo Foster.
“Del mismo modo, podríamos haber seguido una ruta técnica y derribar el sitio de fuga, sus páginas de salpicaduras, etc. Alternativamente, podríamos haber salido y acariciarse a muchas personas e intentar hacer arrestos en todo el mundo, y acusar a las personas y sancionar a las personas.
“En realidad, fue una combinación de todas esas cosas entregadas de una manera secuenciada, combinada con una articulación pública muy clara de lo que habíamos hecho, y eso juntos ofreció un efecto disruptivo significativo”.
Foster también destaca el trabajo de los socios de la NCA, los investigadores de seguridad, la industria del sector privado más amplio e incluso la tecnología y los medios nacionales cuyos reporteros pulularon la historia en poco tiempo, para amplificar el impacto de la Operación Cronos e incluso construirla.
“Todo eso juntos dijeron que las operaciones de delitos cibernéticos de buena calidad en el futuro deben ser multifacéticos, no lineales. Creo que fue la naturaleza multifacética de la Operación Cronos la que fue una de las razones clave de por qué fue tan exitoso “.
Manteniendo la presión
Después de que se había desvanecido el primer al ras de la emoción y las noticias comenzaron a abandonar la parte superior de las búsquedas de Google, la Operación Cronos siguió siguiendo, con la NCA y otros, particularmente sus socios estadounidenses, manteniendo un toque constante de la ley anti-ransomware Actividad de cumplimiento.
En el transcurso de 2024, se hicieron anuncios, acusaciones e incluso arrestos, se hicieron contra Lockbit y sus afiliados. Significativamente, los investigadores nombrados y avergonzados Lockbit Ringleader Lockbitsupp como un ciudadano ruso llamado Dmitry Khoroshev.
Las autoridades también demostraron vínculos presentado hace mucho tiempo entre la pandilla y el gobierno ruso después de demostrar conexiones entre Lockbitsupp y Maksim Yakubets de Evil Corp, que probablemente tuvieron acceso a altos funcionarios del Kremlin a través de su suegro, un ex hombre de inteligencia y mayo. Incluso han recibido tareas de las agencias de espionaje de Rusia.
Otras operaciones también se dirigieron a los operadores del sitio de fugas y a los lavadores de dinero que ayudaron a los gustos de Lockbit a lavar sus ganancias mal obtenidas. Más recientemente, en febrero de 2025, el gobierno británico anunció sanciones contra el proveedor de servicios de infraestructura rusa Zservers y su representante del Reino Unido, XHOST, el servicio de alojamiento “a prueba de balas” que supuestamente facilitó los ataques de Lockbit contra los objetivos en el Reino Unido.
“El resultado más obvio es la marca que queda en el paisaje, con afiliados que se dispersan a los nuevos esquemas o recurren a las operaciones independientes”, dijo Mitchell en SecureWorks.
“Con estas interrupciones al status quo, ha agregado fricción y ha aumentado el costo de los ciberdelincuentes, lo que en última instancia hace que tales operaciones sean más difíciles de ejecutar con éxito. Cuanta más colaboración vemos en toda la industria y con la aplicación de la ley conducirá a que sea más difícil que los ciberdelincuentes tengan éxito ”.
Foster agregó: “Nuestra evaluación general del panorama de amenazas para el ransomware es que se ha llevado a cabo, pero no disminuyó. Sin embargo, esa es una buena noticia, porque se aceleraba a algún ritmo. En la carrera hasta nuestra interrupción de Lockbit, era inequívocamente cierto que la amenaza del ransomware estaba subiendo y subiendo ”.
Que los ataques de ransomware se hayan nivelado en su volumen no es solo una consecuencia de la Operación Cronos, dijo Foster, sino también un reflejo de otras operaciones realizadas el año pasado, y una mayor conciencia de la amenaza de ransomware en las comunidades relevantes de las partes interesadas, lo que es decir, Entre CISO y otros facultados para tomar medidas para abordar la amenaza.
Sin embargo, dijo Foster: “Me preocupa que sea [the ransomware threat] Continuaremos aumentando en el futuro, y creo que razonablemente lo esperaríamos, a menos que podamos continuar manteniendo nuestro impacto disruptivo y efecto disruptivo, lo que significa más de estas operaciones, fundamentalmente basadas en una mayor colaboración conjunta y un intercambio de información en toda la aplicación de la ley, con socios gubernamentales [and] entre el público y el sector privado.
“Esta nunca es una misión de una organización, sin duda. Es el desafío de todos. Y creo que si podemos seguir así, espero que podamos seguir suprimiendo la amenaza “.
La evidencia obtenida a través de la telemetría de Secureworks a primera vista respalda la meseta de los volúmenes de ataque de ransomware, pero también revela que a pesar de que la desaparición de Lockbit causó una desaceleración en el paisaje más amplio, diciembre y enero alcanzaron la tendencia con un 61% anual de 61% a año Aumento en el número de víctimas que figuran en los sitios de filtraciones en diciembre, y un aumento del 80% en enero.
También es notable un aumento significativo en el número de pandillas operativas, dijo Mitchell. Entonces, ¿qué está pasando aquí?
Los primeros meses del año se ven invariablemente la publicación de múltiples informes anuales de amenazas y ransomware de proveedores de seguridad, que generalmente dicen exactamente lo mismo: explicó Mitchell, y a principios de 2025, la mayoría de ellos señaló una fragmentación del ecosistema, que rastrea Con la idea de que muchas personas asociadas con Lockbit se han dispersado a los cuatro vientos.
“El aumento durante el año en el número de esquemas que operan es indicativo de esa fragmentación en el paisaje. Y es importante recordar que una víctima se nombra en un sitio de filtración cuando no han pagado un rescate, por lo que un aumento en el número de víctimas podría significar que el número de víctimas que pagan realmente está disminuyendo ”, dijo.
Las pandillas de ransomware muestran su resistencia
Por otro lado, Linares at Huntress dijo que, desafortunadamente, Lockbit también demostró ser más desafiante y resistente de lo que muchos esperaban.
“Es interesante cómo Lockbit ha manejado este derribo. Él [Operation Cronos] Tuvo mucho éxito, pero como todos sabemos, Lockbit no se ha ido ”, dijo. “Se han vuelto a unir de nuevo. Se han reformado y se han mantenido atentos y persistentes.
“Eso es un testimonio de qué tan bien pueden realizar sus actividades. A diferencia de muchos otros grupos, están bien organizados y este no es su primer rodeo “.
Dijo que otras pandillas, como Ransomhub, Play e incluso CL0P, han incorporado elementos del libro de jugadas de Lockbit en su cuenta, y aprendieron lecciones de su caída. Un efecto notable de esto es probablemente una disminución ampliamente observada en los tiempos de permanencia, la cantidad de tiempo entre cuando las pandillas de ransomware primero acceden a una red de víctimas futuras y cuando ejecutan su ataque.
“Tenemos [also] Los grupos vistos incluso se salen por el ransomware por completo ahora y simplemente buscan extorsión recta, porque descubren que están atrapados en el nivel cuando dejan caer ransomware. Lockbit ha alimentado absolutamente algunas de estas tendencias ”, dijo Linares.
Foster en la NCA está optimista por el hecho de que la pandilla Lockbit, o las personas que afirman estar asociadas con ellos, todavía aparecen regularmente, a menudo tratando de contrarrestar la narrativa de la NCA con sus propios puntos de vista, y recientemente provocando un regreso a los ‘negocios’ y Un nuevo casillero de malware, Lockbit 4.0.
“Cuando hicimos esto, sabíamos que nunca podríamos borrar a Lockbit por completo porque, por supuesto, hay un código heredado, una vez que algo está en línea, hasta cierto punto, de forma permanente, y es muy fácil para las personas adoptar la marca o tratar de Encuentra cosas nuevas que puedan poner allí. Aceptamos el hecho de que siempre habrá un poco de legado de Lockbit flotando alrededor del sistema ”, dijo.
“Sin embargo, creo que lo que está claro es que lo que sea que quede de Lockbit, a través de una lente ciberdelina, tiene muy poca credibilidad si la hay. Eso se desarrolla en lo que estamos viendo en el informe de la víctima, ciertamente en el Reino Unido.
“Entiendo que Lockbit lanzó recientemente su nueva versión hace un par de semanas. No estamos viendo ningún efecto de eso. No ha habido un ataque de Lockbit conocido en el Reino Unido durante más de cuatro meses y nuestros socios internacionales están viendo tendencias similares ”, agregó.
Esto no quiere decir que no se están produciendo ataques de ransomware Lockbit. Linares dijo que si bien la credibilidad de la operación de la NCA dañó la credibilidad de Lockbit y Lockbitsupp, incluso ahora todavía hay alguna actividad de pandillas.
“Los hemos visto en el gobierno y los hospitales, principalmente”, dijo. “Una cosa que ha sucedido después del derribo es que solo comenzaron a perseguir objetivos que eran mucho más grandes, para ayudar a su credibilidad y también para ayudarlos a recuperar dinero y perder ingresos”.
Hace un par de semanas, dijo, Huntress comenzó a ver evidencia de la versión previamente rematada de Lockbit 4.0, ahora doblada Lockbit Green, una versión negra Lockbit 4.0 también puede estar disponible según algunas fuentes, que se usa en la naturaleza.
“Estamos empezando a ver alguna actividad allí. Entonces, creo mientras [Operation Cronos] ayudó a desacreditar a Lockbitsupp … desafortunadamente todavía están rescatando a las personas “, dijo Linares.
El ransomware no va a ir
El jurado aún no está sobre si Lockbit 4.0 es una amenaza severa, pero Mitchell de Secureworks dijo que debemos recordar que la amenaza de ransomware más amplia no ha desaparecido.
“Lejos de eso”, dijo. “Aunque el impacto de tales ataques contra las víctimas individuales podría reducirse, experimentar un incidente de ransomware sigue siendo un día muy malo en la oficina.
“Las organizaciones deberían priorizar los conceptos básicos, incluido el parche regularmente de dispositivos orientados a Internet, implementando autenticación multifactor resistente a phishing [MFA] como parte de una política de acceso condicional y monitoreo de la red y los puntos finales para actividades maliciosas.
“Las organizaciones también deben tener un plan de respuesta a incidentes, probado regularmente para asegurarse de que estén preparados para responder un ataque cibernético …