LockBit és un programari de segrest maliciós que es fa servir per bloquejar l’accés dels usuaris als sistemes informàtics i després demanar el pagament d’un rescat.

Després de diversos atacs a empreses i organitzacions durant quatre anys, en  una operació conjunta internacional anomenada operació Cronos, les forces policials de deu països han aconseguit desarticular l’operació del programari de segrest LockBit. Ara aquest web es troba sota el control de la The National Crime Agency (NCA) del Regne Unit, en coordinació amb l’FBI.

Per altra banda, l’operació ha aconseguit requisar el panell d’afiliats de LockBit, amb un missatge de l’NCA que detalla la confiscació del codi font de la plataforma del programari de segrest, converses i la informació de les víctimes. Entre les víctimes de LockBit, hi ha el Royal Mail del Regne Unit, la ciutat d’Oakland, el gegant automotriu Continental i el Servei d’Ingressos Interns italians.

Actualment, una gran quantitat de dades recopilades al llarg de la investigació estan en possessió de les autoritats. Aquestes dades es faran servir per recolzar les activitats operatives internacionals en curs centrades a atacar els líders d’aquest grup, com també als desenvolupadors, afiliats, infraestructura i actius criminals vinculats a aquestes activitats criminals. 

Aquesta acció se suma a altres esforços recents d’aplicació de la llei, com ara la confiscació de servidors de programari de segrest ALPHV (BlackCat) i llocs de pagament i filtració de dades del programari de segrest Hive. L’advertència conjunta d’autoritats de ciberseguretat dels EUA i els seus aliats el juny passat va revelar que LockBit ha extorsionat almenys 91 milions de dòlars d’organitzacions estatunidenques mitjançant 1.700 atacs des de 2020.

El programari de segrest més nociu del món

LockBit va sorgir per primera vegada a finals de 2019 i primer es va anomenar a si mateix programari de segrest «ABCD». Des d’aleshores, ha crescut ràpidament i el 2022 es va convertir en la variant de programari de segrest més implementada arreu del món.

El grup és una operació de programari com a servei, la qual cosa significa que un equip central crea el seu programari maliciós i executa el seu lloc web, mentre atorga llicències del seu codi a afiliats que llancen atacs.

La presència d’atac de LockBit es veu a nivell mundial, amb centenars d’afiliats reclutats per fer operacions de programari de segrest que fan servir les eines i la infraestructura de LockBit. Els pagaments de rescat es van dividir entre l’equip central de LockBit i els afiliats, que van rebre una mitjana de tres quartes parts dels pagaments de rescat cobrats.

El grup de programari de segrest també és famós per experimentar amb mètodes nous per pressionar les seves víctimes per tal que paguin els rescats. La triple extorsió és un d’aquests mètodes, que inclou els mètodes tradicionals de xifrar les dades de la víctima i amenaçar de filtrar-los, però també incorpora atacs de denegació de servei distribuït (DDoS) com una capa addicional de pressió.

El pas de la banda a la triple extorsió va estar influït en part per un atac DDos que ells mateixos van patir, que va impedir la seva capacitat de publicar dades robades. Com a resposta, LockBit va millorar la seva infraestructura per resistir atacs com aquests.

Ara, aquesta infraestructura està sota control policial, i més de 14.000 comptes fraudulents responsables d’exfiltració o infraestructura han estat identificats i remesos per a la seva eliminació per part de les autoritats.