LockBit y Operation Cronos: La Caída del Grupo de Ransomware Más Grande

El rey del ransomware cae

19 de febrero de 2024. A las 14:00 UTC, los sitios de LockBit en la dark web mostraron algo inesperado: en lugar de su lista habitual de víctimas, apareció un banner de las fuerzas del orden con los logos de la NCA británica, el FBI, Europol y las policías de 10 países.

Pero no fue un simple decomiso de servidores. Las fuerzas del orden habían convertido la propia infraestructura de LockBit en un arma psicológica. Utilizaron el mismo formato y diseño del sitio de filtraciones de LockBit, pero en lugar de datos de víctimas, publicaron:

• La identidad de LockBitSupp, el misterioso administrador
• Datos internos del grupo (código fuente, chats, datos de afiliados)
• Un contador regresivo (imitando las tácticas de LockBit contra sus víctimas) que revelaba nueva información cada día
• Herramientas de descifrado gratuitas

Era un takedown con un toque de ironía devastadora. Las fuerzas del orden no solo desmantelaron LockBit: lo humillaron públicamente usando sus propias tácticas contra él.

LockBit: el ascenso al trono

De LockBit 1.0 a LockBit 3.0

LockBit apareció en septiembre de 2019 como un ransomware relativamente genérico. Pero a través de iteraciones constantes, se convirtió en la operación de RaaS más exitosa del mundo:

LockBit 1.0 (2019-2021). Primera versión, funcional pero sin características diferenciadoras. Empezó a ganar tracción por su velocidad de cifrado (significativamente más rápido que la competencia).

LockBit 2.0 (junio 2021). Rediseño completo con cifrado más rápido, nuevas técnicas de evasión, y un sitio de filtraciones mejorado. Incorporó "StealBit", una herramienta de exfiltración automatizada. Empezó a reclutar agresivamente afiliados de grupos rivales.

LockBit 3.0 / LockBit Black (junio 2022). La versión más avanzada. Incorporó código del ransomware BlackMatter (descendiente de DarkSide). Introdujo un programa de bug bounty para que investigadores encontraran fallos en su ransomware (pagando entre 1.000 y 1 millón de dólares). También implementó la opción de que las víctimas pagaran para destruir los datos en lugar de descifrarlos.

El dominio del mercado

En 2023, LockBit fue responsable de aproximadamente el 25% de todos los ataques de ransomware documentados. Algunas cifras:

• 2.500+ víctimas en más de 120 países
• 500+ millones USD en rescates cobrados
• Más de 100 afiliados activos simultáneamente
• Víctimas incluían: Boeing, Royal Mail (UK), ICBC (banco más grande de China), Continental (fabricante de neumáticos), hospitales, escuelas, municipios

LockBitSupp: el administrador anónimo

LockBitSupp era el handle del administrador principal de LockBit. Era extraordinariamente activo en foros de cibercrimen (Exploit, XSS), donde:

• Reclutaba afiliados con condiciones competitivas
• Respondía a críticas y acusaciones públicamente
• Alardeaba de la superioridad técnica de LockBit
• Provocaba a las fuerzas del orden y a empresas de seguridad
• Organizó una encuesta pública sobre qué nombre poner a LockBit 4.0

LockBitSupp afirmaba vivir en China y que las fuerzas del orden nunca lo encontrarían.

Operation Cronos: la operación policial

Preparación (meses previos)

Operation Cronos fue liderada por la NCA (National Crime Agency) del Reino Unido, en coordinación con el FBI, Europol y las fuerzas policiales de Francia, Alemania, Japón, Australia, Canadá, Países Bajos, Suecia, Finlandia y Suiza.

La preparación incluyó:

• Infiltración de la infraestructura de LockBit
• Identificación de servidores en múltiples países
• Coordinación legal en 10 jurisdicciones
• Desarrollo de herramientas de descifrado
• Planificación de la campaña de comunicación pública

El takedown (19 de febrero de 2024)

La ejecución fue meticulosa:

Servidores decomisados. 34 servidores en Países Bajos, Alemania, Finlandia, Francia, Suiza, Australia, EEUU y Reino Unido.

Código fuente incautado. Se obtuvo el código fuente completo de LockBit 3.0, incluyendo el panel de afiliados, el builder del ransomware y las herramientas de exfiltración.

Datos de afiliados. Registros de chats, datos de pago, información sobre más de 190 afiliados identificados.

Claves de descifrado. Más de 2.500 claves de descifrado recuperadas, que fueron puestas a disposición de las víctimas a través del portal No More Ransom.

Billeteras de criptomonedas. Más de 200 billeteras de criptomonedas vinculadas a LockBit fueron congeladas.

La guerra psicológica

Lo que distinguió a Operation Cronos fue el uso deliberado de las tácticas de LockBit contra el grupo:

El sitio de filtraciones "invertido." Las fuerzas del orden usaron el mismo diseño del sitio de LockBit pero con contenido que exponía al grupo. Publicaron "filtraciones" de los datos internos de LockBit usando exactamente el mismo formato.

El contador regresivo. Imitando los contadores que LockBit usaba para presionar a sus víctimas, las fuerzas del orden pusieron un contador que revelaba nueva información cada día: lunes la identidad de un afiliado, martes detalles financieros, miércoles más datos internos.

Los cargos con nombre y foto. En mayo de 2024, en una segunda fase, revelaron que LockBitSupp era Dmitry Yuryevich Khoroshev, un ciudadano ruso de 31 años de Voronezh. Publicaron su foto, dirección y datos personales.

Arrestos y cargos

• Artur Sungatov: Nacional ruso, imputado en EEUU
• Ivan Kondratyev (Bassterlord): Nacional ruso, imputado en EEUU
• Dmitry Yuryevich Khoroshev (LockBitSupp): Imputado en mayo 2024, recompensa de 10 millones USD
• Dos individuos arrestados en Polonia y Ucrania
• Mikhail Vasiliev: Previamente arrestado en Canadá (noviembre 2022), sentenciado a 4 años
• Ruslan Astamirov: Arrestado en EEUU (junio 2023), se declaró culpable

El intento de resurgimiento

Una semana después

LockBitSupp/Khoroshev intentó relanzar las operaciones apenas una semana después del takedown. Publicó un nuevo sitio de filtraciones y emitió un comunicado donde:

• Negaba ser Khoroshev (afirmando que las fuerzas del orden habían identificado a la persona equivocada)
• Admitía que había sido comprometido por una vulnerabilidad en PHP
• Prometía mejorar la seguridad de la infraestructura
• Listaba nuevas "víctimas" (incluyendo al FBI, en un gesto de provocación)

El declive irreversible

Pero la credibilidad de LockBit estaba destruida:

• Los afiliados no confiaban en que la nueva infraestructura fuera segura
• Muchos afiliados habían sido identificados y temían ser arrestados
• Los potenciales clientes (víctimas) sabían que las fuerzas del orden tenían las claves
• La comunidad underground vio el intento de resurgimiento con escepticismo

El volumen de ataques atribuidos a LockBit cayó drásticamente. Los afiliados migraron a otros grupos: BlackCat/ALPHV (hasta su propio takedown), RansomHub, Play y otros.

Impacto en el ecosistema de ransomware

El efecto Cronos

Operation Cronos tuvo un impacto significativo más allá de LockBit:

Paranoia generalizada. Otros grupos de ransomware empezaron a cuestionar la seguridad de sus propias infraestructuras. Varios revisaron sus servidores y protocolos de seguridad.

Migración de afiliados. La dispersión de los afiliados de LockBit (y previamente de Hive y BlackCat) creó un efecto de fragmentación del ecosistema. En lugar de un grupo dominante, el panorama de ransomware se volvió más distribuido.

Efecto disuasorio. Las identificaciones públicas de afiliados (con nombres, fotos y datos personales) enviaron un mensaje claro: el anonimato no es garantizado.

El modelo de "name and shame" policial. Operation Cronos demostró que las fuerzas del orden podían usar las mismas tácticas de presión psicológica que los grupos de ransomware.

¿Funcionó el takedown?

Los expertos están divididos:

Éxito operativo: LockBit como marca efectivamente murió. El grupo más prolífico del mundo fue desmantelado y humillado públicamente. Se proporcionaron claves de descifrado a miles de víctimas.

Limitaciones estructurales: Los individuos detrás de LockBit (especialmente los que operan desde Rusia) siguen libres. El talento técnico no desapareció, simplemente migró. El ransomware como fenómeno no disminuyó significativamente.

Lecciones aprendidas

1. La guerra psicológica funciona

Convertir las tácticas de LockBit contra el grupo fue brillante. La humillación pública dañó la credibilidad de LockBit de forma permanente y envió un mensaje a otros grupos: las fuerzas del orden pueden jugar el mismo juego.

2. La cooperación internacional de 10+ países es posible (y necesaria)

Operation Cronos coordinó acciones simultáneas en más de 10 países. Demostró que, a pesar de las dificultades jurisdiccionales, la cooperación policial internacional contra el ransomware puede funcionar a gran escala.

3. Desmantelar la marca es más efectivo que desmantelar los servidores

LockBit podía recuperar servidores. Lo que no pudo recuperar fue la confianza de sus afiliados. La destrucción de la reputación del grupo fue más efectiva que la incautación técnica.

4. El problema del "safe harbor" ruso persiste

A pesar de las identificaciones y los cargos, los principales acusados residen en Rusia y probablemente no serán arrestados mientras permanezcan allí. El takedown técnico fue un éxito; la justicia penal completa sigue siendo esquiva.

Estado actual (2026)

LockBit

La marca está efectivamente muerta. Intentos esporádicos de usar el nombre no han generado tracción. Los afiliados se han dispersado en el ecosistema.

Khoroshev

Dmitry Khoroshev sigue en Rusia. La recompensa de 10 millones de dólares sigue vigente. Las sanciones de EEUU, Reino Unido y Australia congelan cualquier activo que tenga fuera de Rusia.

El legado operativo

Operation Cronos se ha convertido en el modelo a seguir para futuras operaciones contra grupos de ransomware: infiltración sostenida, rescate de víctimas, takedown coordinado y campaña de comunicación agresiva.

Recursos y referencias

• NCA Press Release (febrero 2024): "International operation disrupts the world's most harmful ransomware group"
• DOJ Press Release (febrero 2024): "U.S. and U.K. Disrupt LockBit Ransomware Variant"
• DOJ (mayo 2024): Cargos contra Dmitry Yuryevich Khoroshev
• Europol (febrero 2024): "Law enforcement disrupt world's biggest ransomware operation"
• No More Ransom Project: Herramientas de descifrado para LockBit
• Trend Micro Research: "Inside the LockBit 3.0 Ransomware" (análisis técnico)
• CISA Advisory AA23-075A: "Understanding Ransomware Threat Actors: LockBit"