Autoridades

Operación global culmina en el desmantelamiento de la red de ransomware Lockbit: Víctimas colombianas podrían desencriptar datos secuestrados 

En una espectacular operación coordinada globalmente y liderada por el National Crime Agency (Reino Unido), Europol y el Departamento de Justicia de Estados Unidos se logró el desmantelamiento y desactivación de uno de los grupos de Ransomware más grande del planeta.  

Lockbit tenía en jaque a varias empresas colombianas desde hace más de dos años y es quizás el grupo de ciberdelincuentes con más actividad en territorio nacional.  

Aunque no se conoce muchos datos del detalle técnico de la operación la National Crime Agency informó que logró penetrar la operación de los delincuentes a tal punto, que a esta hora en la misma infraestructura que usaba Lockbit ,y que está alojada en la red Thor, se comunican los avances de la investigación.  

Así se luce el portal de Lockbit en la red Thor. Cuando una víctima era atacada se publicaba su información en estos recuadros. Las autoridades tomaron control del portal y a esta hora comunican avances de la operación desde el propio portal de los ciberdelincuentes.

Esta noticia es especialmente importante para Colombia pues LockBit tiene un gran historial de víctimas en el país.  

Además, existen señales que podrían indicar que actores colombianos habrían usado los servicios que ofrecía esta banda de cibercriminales. 

Víctimas colombianas 

El 8 de marzo MuchoHacker.lol reportó un supuesto ataque a Ministerio TIC. En esa oportunidad se compartieron documentos privados de la infraestructura técnica del Estado. Como es usual en Colombia la entidad afectada no aceptó el ataque y a nadie le importó. 

En ese momento no se secuestró información, como es usual en los ataques de este grupo. Se compartieron unos documentos privados. La forma de alojar la información y compartirla se hizo a través de un servicio en la nube que tenía logos de Lockbit.  

Pero el ataque a Mintic no fue el único. Lockbit habría sido el grupo de ciberdelincuentes que secuestró y posteriormente compartió públicamente delicada información del Sistema Integrado de Emergencias y Seguridad de Medellín.  

Así mismo, estaría detrás de un ataque a la empresa colombiana Schrader Camargo. Una compañía de ingeniería eléctrica y mecánica encargada de obras de Hidroituango. 

Otro de los ataques a Colombia tiene que ver con el grupo Nutresa. El 28 de abril MuchoHacker.lol reportó como se habrían publicado pruebas de documentos robados a la organización. 

Pasó igual con Fiduagraria y la empresa Mario Hernández que también figuraron en la lista de víctimas colombianas.  

El ataque a organizaciones colombianas incluyó la liberación de documentos privados como lo contamos en cada caso descrito en el blog. Información muy delicada como condiciones clínicas de personas en Medellín se difundía en la infraestructura Lockbit. 

La lista de empresas colombianas afectadas por este Ransomware pudo ser mucho mayor ya que no todas las víctimas nacionales fueron reportadas en MuchoHacker.lol. 

Lockbit funcionaba como un servicio en la nube y ofrecía algunos de sus servicios en línea. Esto quiere decir que personas interesadas en su tecnología podía pagar por las herramientas tecnológicas que desarrollaron. 

Herramienta para desencriptar 

Dentro de las actividades que incluyó la operación policial se compartió información que podrían ser útil para empresas colombianas afectadas que aún no hayan podido desencriptar datos.  

Según se informa en el viejo portal de Lockbit ahora en manos de las autoridades, se logró acceso a información clave de la infraestructura atacante.  

Víctimas de Estados Unidos, UK y Europa se pueden comunicar con las autoridades de esos países quienes ayudarán en la operación.  

Personas ubicadas en otras regiones, incluida Colombia, deberán hacerlo a través de No More Ransom.

La policía de Japón con apoyo de Europol desarrollaron la herramienta que ahora es de acceso público. El portal Bleeping Computer reportó que esta ayuda podría servir a víctimas afectadas desde un periodo de tiempo específico que no se conoce.  

A pesar de que Colombia tenía una larga lista de víctimas en ninguno de los comunicados oficiales aparece colaboración de las autoridades nacionales en esta operación. Situación que muestra la irrelevancia de Colombia en la actividad de ciberseguridad global. 

Tampoco se conoce si existen actores colombianos afiliados a LockBit que hayan pagado por usar los servicios de esa banda cibercriminal y que estén bajo la mirada de las autoridades de Estados Unidos, UK y Europa. 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *