Operation Cronos: el takedown de LockBit

El titular

19 de febrero de 2024. La web .onion de LockBit, el grupo de ransomware más prolífico del mundo, muestra un mensaje inesperado: "This site is now under the control of the National Crime Agency of the United Kingdom". La NCA, el FBI y agencias de 10 países han ejecutado Operation Cronos: el takedown coordinado más grande contra un grupo de ransomware.

En un giro irónico, las fuerzas del orden usaron el propio sitio de LockBit para publicar los datos de la operación: arrestos, decryptors, y la identidad del líder del grupo.

El contexto: LockBit dominaba el ransomware

Números de LockBit

En el momento del takedown, LockBit era responsable de:

• 2,000+ víctimas documentadas globalmente
• 120+ millones USD en rescates cobrados
• 25% de todos los ataques de ransomware en 2023
• Afiliados en múltiples países
• 4 versiones del ransomware (LockBit 1.0 → LockBit 3.0/Black → LockBit Green)

Modelo RaaS

LockBit operaba como Ransomware-as-a-Service: el grupo core desarrollaba el malware y la infraestructura, y los afiliados ejecutaban los ataques a cambio de un porcentaje del rescate (típicamente 80% para el afiliado, 20% para LockBit).

Víctimas notables

Boeing, ICBC (banco más grande de China), Royal Mail (servicio postal UK), Puerto de Nagoya, Hospital SickKids (Toronto), múltiples gobiernos y universidades.

Operation Cronos

Participantes

10 países coordinados: UK (NCA, lead), EEUU (FBI, DOJ), Francia, Alemania, Países Bajos, Suecia, Australia, Canadá, Japón, Suiza. Europol y Eurojust como coordinadores.

Qué hicieron

Infraestructura incautada:

• 34 servidores en 8 países
• 14,000 cuentas fraudulentas usadas para exfiltración y laundering
• Web .onion principal tomada
• Panel de afiliados comprometido

Arrestos:

• 2 personas arrestadas en Polonia y Ucrania
• 5 acusaciones y 3 órdenes de arresto internacionales
• Congelación de 200+ cuentas de criptomonedas

Decryptors:

• Más de 1,000 claves de descifrado obtenidas de los servidores
• Decryptor gratuito publicado en No More Ransom
• Japón desarrolló herramienta de descifrado para LockBit 3.0

Identificación del líder:

• En mayo 2024, EEUU, UK y Australia identificaron públicamente a Dmitry Yuryevich Khoroshev (alias LockBitSupp) como administrador principal
• Sancionado por los tres países
• Recompensa de 10 millones USD por información

El trolleo

La NCA usó el propio sitio de LockBit para publicar los resultados. Crearon un "leak site" invertido: en lugar de datos de víctimas, publicaron datos del grupo. Incluyeron un countdown timer al estilo LockBit para la revelación de la identidad de LockBitSupp. El mensaje era claro: "usamos vuestras propias tácticas contra vosotros".

La reaparición (y degradación)

LockBit vuelve (parcialmente)

Días después del takedown, LockBit montó nuevos servidores .onion y publicó un comunicado. Afirmaron que el FBI solo había obtenido parte de su infraestructura y que seguían operativos. Publicaron nuevas "víctimas" (algunas recicladas de antes del takedown).

Pero degradado

La realidad post-Cronos:

• Pérdida de confianza de afiliados (sus datos estaban comprometidos)
• Decryptors disponibles gratuitamente reducían el incentivo de pago
• Identidad del líder expuesta (presión personal)
• Infraestructura inestable (nuevos servidores menos fiables)
• Afiliados migrando a otros RaaS (BlackCat, Play, Akira)

Las lecciones

1. Los takedowns degradan pero no eliminan

Operation Cronos no destruyó LockBit completamente, pero degradó severamente su capacidad operativa y su reputación en el ecosistema criminal. Los afiliados perdieron confianza. Las víctimas obtuvieron decryptors.

2. La cooperación internacional funciona

10 países coordinados, con jurisdicciones diferentes y marcos legales distintos, lograron una operación sincronizada. La cooperación Europol/FBI es cada vez más efectiva contra ransomware.

3. Identificar al líder cambia las reglas

Mientras LockBitSupp era anónimo, operaba con impunidad. Con nombre, foto y sanciones, cada transacción financiera, cada viaje y cada contacto se convierte en riesgo. La presión personal es la herramienta más efectiva contra operadores de ransomware en países que no cooperan (Rusia).

4. El modelo RaaS tiene un punto débil

Cuando las fuerzas del orden acceden a la infraestructura del grupo core, obtienen datos de TODOS los afiliados. Cada afiliado que usó LockBit ahora sabe que sus datos están en manos del FBI. Eso es un disuasivo masivo.

Estado actual

LockBit: operativamente degradado, intentando mantener relevancia pero con fracción de su capacidad anterior. Khoroshev: identificado, sancionado, presumiblemente en Rusia (sin extradición). Afiliados: muchos migrados a otros RaaS. Decryptors: disponibles en No More Ransom para víctimas de LockBit 3.0.