Lockbit, la red de hackers que publicó datos de trabajadores de R e Inditex, asaltada por la policía

La Agencia Nacional contra el Crimen del Reino Unido y Europol aseguran que han desbaratado la red de ciberdelincuentes más peligrosa del mundo. Se trata de Lockbit, el grupo de hackers que robó miles de documentos de Euskaltel, R y Telecable la pasada primavera.
 

Galiciapress ha accedido al portal de Lockbit en la web oscura. La página de entrada muestra, efectivamente, un aviso que indica que “este sitio está bajo control de las autoridades policiales”. 
 

El aviso está acompañado por banderas Reino Unido, Estados Unidos, Francia, Japón, Suiza, Canadá ,Australia , Suecia, Holanda, Finlandia y Alemania. También por los símbolos de sus fuerzas policiales, como el citado ente británico.
 

No aparece la bandera de España ni el distintivo de la Policía Nacional. Sí aparece el de Europol, organismo que coordina las policías en la UE y del que forman parte las autoridades españolas.
 

En el portal donde los hackers publicaban muestras de los datos robados -inicialmente- y todo lo robado -finalmente, si no se pagaba un chantaje- aparecen ahora notas de prensa de la operación policial. También consejos de las autoridades sobre cómo desencriptar los datos.
 

Galiciapress ha contactado con R para saber si la marca gallega había logrado recuperar sus datos. La compañía ha dicho que no se va pronunciar sobre el asunto.
 

La red Lockbit hackeó servidores del grupo Euskaltel (ahora parte de Más Móvil) en la primavera de 2023. Los ciberdelincuentes, siguiendo su modus operandi habitual, primero publicaron una mínima parte de la información para demostrar que poseían lo robado. Entre esas muestras figuraban documentos de identidad de trabajadores de R y otra información sensible como datos de los representantes sindicales.

Como R, en principio, no cedió al chantaje, finalmente publicaron una enorme cantidad de documentos, en teoría todo lo robado. Entre ellos, había datos de trabajadores de Inditex, de las conexiones que la empresa téxtil les había contratado en sus casas a través de R.

El hackeo también afectó a Euskaltel, llegaron a publicar el número de teléfono móvil del lehendakari Iñigo Urkullu.
 

Cuando una víctima es infectada por el software malicioso de LockBit, sus datos no solo son robados sino también son  encriptados. La red reclama entonces un rescate en criptomonedas para que la víctima descifre sus archivos y evite que sus datos sean publicados en la llamada Dark Web (una parte de internet anónima accesible desde cualquier navegador mediante el navegador Tor).
 

Hace años que este tipo de prácticas, conocidas como ransomware, son una de las mayores amenazas contra la ciberseguridad. Lockbit era, además, una de las comunidades más activas.  “El grupo cibercriminal más peligroso del mundo”, en palabras de National Crime Agency.

“Los ataques de ransomware LockBit se dirigieron a miles de víctimas en todo el mundo, incluido el Reino Unido, y causaron pérdidas de miles de millones de libras, dólares y euros, tanto en pagos de rescate como en costos de recuperación”, explicaron las autoridades británicas en un comunicado emitido ayer.

Los policías aseguran que lograron infiltrarse en la red del grupo. Esto fue posible debido a cierto carácter de red social descentralizada. Un núcleo de hackers, que desarrolló el software para infiltrase en servidores ajenos y encriptarlos, alquilaba el programa a otros ciberdelincuentes, se supone que de más bajo nivel técnico. Los alquilados, a cambio de tener acceso a Lockbit, deben parte de los extorsionado.
 

Periódicamente, las autoridades se infiltran en estas redes de hackers y a veces consiguen desmantelar los portales en los que se organizan. El problema es que, dado el carácter anónimo de la Dark Web, es muy complicado llegar a las personas físicas que gestionan el núcleo de la mafia, por lo que habitualmente los ciberdelincuentes simplemente se mudan a otras páginas, bajo otro nombre o similar.
 

En esta ocasión, sin embargo, parece que sí hay detenciones de personas en concreto. Las autoridades indican que han apresado a un hacker en Ternópil o Ternópol (en el oeste de Ucrania) y a otro en Polonia, a petición de la judicatura francesa. Además, Estados Unidos también ha imputado acusaciones contra dos rusos, no residentes allí, por conspirar para cometer ataques LockBit. 

Está por ver si los detenidos son miembros del núcleo duro de la banda o simplemente hackers que alquilaban el programa. También qué papel jugaban, en su caso, los rusos identificados. Algo que será complicado, por el enfrentamiento al hilo de la Guerra de Ucrania y porque la mayoría de los países europeos no tienen tratados de extradición con Rusia.

DAÑANA, PERO NO ELIMINADA

De las palabras de las autoridades se desprende que no dan por desmantelada la red por completo. “Nuestro trabajo no termina aquí. LockBit puede intentar reconstruir su empresa criminal. Sin embargo, sabemos quiénes son y cómo operan. Seremos tenaces y no cejaremos en nuestros esfuerzos para perseguir a este grupo y a cualquiera asociado con él” promete el Director General de la Agencia Nacional contra el Crimen, Graeme Biggar .

A menudo Rusia muestra manga ancha con sus ciudadanos que se dedican a estas actividades en redes extranjeras. De hecho, Occidente lleva años especulando sobre la posibilidad que estos grupos formen parte de la guerra híbrida que el Kremlin blande contra sus rivales geopolíticos. En parte, porque para meter más presión tras el encriptamiento, a menudo los hackers bombardean las webs públicas de los asaltados con ataques de Denegación de Servicio (DDos), una táctica que usan también a menudo los piratas pro-rusos. Por ejemplo, hackers pro-Kremlin tumbaron hace unas semanas la web del Parlamento de Galicia.

Otra opción sobre el origen del núcleo de las redes de ransomware que barajan los expertos en ciberseguridad es Corea del Norte. La dictadura comunista mantiene un ejército de ciberdelincuentes profesionales para conseguir efectivo y así poder aliviar el impacto de las sanciones internacionales.

En su relato de la “Operación Cronos”, los británicos, que dicen haber liderado la acción policial, aseguran haber intervenido 34 servidores en Holanda, Francia, Finlandia, Suiza, Australia, Estados Unidos y el propio Reino Unido. También unas 200 cuentas de criptomonedas, vía por la que se cobran rescates dado su anonimato. 

Europol asegura en una nota de prensa que la investigación se abrió en 2022 a petición de Francia. La entidad recuerda que, junto a policías de todo el globo, ha publicado una serie de soluciones para los que sufren ataques de este tipo a través del portal  ‘No More Ransom’.
 

Los ataques de ransomware son cada vez más habituales y no afectan solo a grandes compañías. Por ejemplo, el verano pasado el Concello de Cangas tuvo sus sistemas parados -incluído el pago de nóminas- por un asalto de este tipo.

Los afiliados a Lockbit no se han andado con miramientos a la hora de escoger sus víctimas. Entre los atacados hubo universidades e, incluso, hospitales.

¿Qué hacer ante un ataque de ransomware?

Aunque las autoridades recuerdan que ·la participación pública es clave para esta respuesta, por lo que es vital que las organizaciones informen si son víctimas de un ataque de ransomware”, a menudo muchas víctimas no saben cómo reaccionar. 
 

Una parte de ellas acaba pagando los chantajes. Es triste pero evidente, de otro modo sería imposible que grupos como Lockbit mantuviesen su actividad tantos años. De hecho, Europol indica que esta banda empezó a funcionar en 2019, aunque por entonces su software se denominaba ABCD.
 

En vez de pagar, estos son unos consejos a valorar tras sufrir un ataque que roba y encripta nuestros datos: 

Desconecta físicamente el dispositivo atacado de la red:

• Si detectas un ataque de ransomware en un dispositivo, desconéctalo de la red inmediatamente. Esto puede ayudar a prevenir la propagación del ransomware a otros dispositivos.

Informa a las autoridades y a tu equipo de seguridad:

• Notifica al personal de seguridad de tu organización y a las autoridades competentes. El cibercrimen es un delito y debe ser reportado.

No pagues el rescate:

• Aunque puede ser tentador pagar el rescate para recuperar tus archivos, no hay garantía de que los ciberdelincuentes realmente te proporcionen la clave de descifrado después del pago. Además, pagar perpetúa este tipo de delitos.

Aísla y desconecta sistemas afectados:

• Si es posible, aísla los sistemas afectados para evitar que el ransomware se propague a otros dispositivos o servidores. Desconecta los dispositivos infectados de la red.

Identifica la cepa de ransomware:

• Si es posible, intenta identificar la cepa específica de ransomware que afecta tus sistemas. Esto puede ayudar a los expertos en seguridad a encontrar soluciones específicas.

Restauración desde copias de seguridad:

• Si tienes copias de seguridad actualizadas, puedes restaurar tus sistemas a un estado anterior al ataque. Asegúrate de que las copias de seguridad no estén comprometidas antes de realizar la restauración.

Análisis forense:

• Realiza un análisis forense para entender cómo ocurrió el ataque y fortalecer las medidas de seguridad para evitar futuros incidentes similares.

Actualiza y fortalece la seguridad:

• Actualiza tus sistemas y software a las versiones más recientes, y refuerza las medidas de seguridad. Asegúrate de tener un buen programa antivirus y antimalware instalado.

Capacita al personal:

• Educa a tu personal sobre prácticas seguras en línea, como no hacer clic en enlaces sospechosos o abrir archivos adjuntos desconocidos.

Considera la ayuda de profesionales en ciberseguridad:

• En casos graves, es recomendable contar con la asistencia de profesionales en ciberseguridad para ayudar en la recuperación y fortalecimiento de la seguridad.