Detienen en Barajas a un cabecilla del grupo de ciberdelincuentes que jaqueó las nóminas del Ayuntamiento de Cangas

E. V. Pita VIGO / LA VOZ

CANGAS

Un agente de la Guardia Civil especializado en delitos informáticos
Un agente de la Guardia Civil especializado en delitos informáticos GUARDIA CIVIL

La Guardia Civil capturó en el aeropuerto de Madrid a un líder de LockBit, un grupo ilegal al que atribuyen 2.500 ciberataques en 120 países

03 oct 2024 . Actualizado a las 01:35 h.

La Guardia Civil, en colaboración con Europol, ha detenido en el aeropuerto de Madrid a uno de los principales responsables de la infraestructura de LockBit, un potente grupo de ransomware (secuestro de datos) según una información de Check Point Software Technologies. Europol confirma que, en total hubo cuatro arrestos en España, Francia y Reino Unido, dentro de la que denominan operación Cronos y que se desarrolló el 1 de octubre. Su misión era abortar el resurgir de LockBit, que había sufrido un fuerte golpe policial en el 2023.

El detenido en Madrid es uno de los cabecillas del mismo grupo que atacó el ayuntamiento de Cangas de O Morrazo, «secuestró» y encriptó sus ordenadores y le exigió el pago de un rescate en criptomonedas.

El detenido, informa CHKP, era el propietario de un proveedor de servicios conocido como Bullet Proof Hosting, que ofrecía anonimato a los ciberdelincuentes. Durante la operación, se incautaron nueve servidores clave que han permitido a las autoridades obtener información crítica sobre los miembros y afiliados del grupo. 

Este arresto forma parte de una operación internacional que busca desmantelar a LockBit, responsable de más de 2.500 ciberataques en 120 países. LockBit está activo desde 2019 y es pionero en ese modelo de robo de datos a cambio de una recompensa. Ha reanudado su operación tras una breve interrupción a principios del 2024. En el 2023, extorsionó a más de mil compañías.

La operación de Europol

Europol apoyó una nueva serie de acciones contra los actores de LockBit, que involucraron a 12 países y a Eurojust y condujeron a cuatro arrestos e incautaciones de servidores críticos para la infraestructura de LockBit.

Un supuesto desarrollador de LockBit fue arrestado a petición de las autoridades francesas, mientras que las autoridades británicas arrestaron a dos personas por apoyar la actividad de una filial de LockBit.

Los oficiales españoles incautaron nueve servidores, parte de la infraestructura del ransomware, y arrestaron a un administrador de un servicio de alojamiento Bulletproof utilizado por el grupo.

Además, Australia, el Reino Unido y los Estados Unidos implementaron sanciones contra un actor que la Agencia Nacional contra el Crimen había identificado como un afiliado prolífico de LockBit y fuertemente vinculado a Evil Corp.

Esto último se produce después de la afirmación de LockBit de que los dos grupos de ransomware no trabajan juntos.

El Reino Unido sancionó a otros quince ciudadanos rusos por su participación en las actividades delictivas de Evil Corp, mientras que Estados Unidos también sancionó a seis ciudadanos y Australia sancionó a dos.

Operación Cronos

Según indica la Europol, estos son algunos de los resultados de la tercera fase de la Operación Cronos, un esfuerzo colectivo de larga data de las autoridades policiales de 12 países, Europol y Eurojust, que unieron sus fuerzas para interrumpir de manera efectiva y a todos los niveles las operaciones criminales del grupo de ransomware LockBit.

Estas acciones siguen a la interrupción masiva de la infraestructura de LockBit en febrero de 2024, así como a la gran serie de sanciones y acciones operativas que se llevaron a cabo contra los administradores de LockBit en mayo y los meses posteriores.

Entre 2021 y 2023, LockBit fue la variante de ransomware más utilizada a nivel mundial, con un número notable de víctimas en su sitio de filtración de datos. LockBit operaba con el modelo de rescate como servicio. El grupo principal vendía el acceso a afiliados y recibía parte de los pagos de rescate recaudados.

Las entidades que implementaron ataques de ransomware de LockBit habían apuntado a organizaciones de varios tamaños que abarcaban sectores de infraestructura crítica como servicios financieros, alimentos y agricultura, educación, energía, servicios gubernamentales y de emergencia, atención médica, fabricación y transporte.

Como reflejo de la considerable cantidad de afiliados independientes involucrados, los ataques de ransomware de LockBit muestran una variación significativa en las tácticas, técnicas y procedimientos observados, afirma Europol.