logo SOS Ransomware
Emergencia 24/7
,

Hackeado el grupo de ransomware LockBit: un irónico giro del destino revela vulnerabilidades inesperadas

Ataque sorpresa a uno de los grupos de ciberdelincuentes más poderosos

En un sorprendente giro de los acontecimientos, el grupo de ransomware LockBit, considerado durante mucho tiempo una fuerza formidable en el mundo de la ciberdelincuencia, ha sido víctima de un importante hackeo.

El 29 de abril de 2025, los datos de su interfaz de administración afiliada fueron extraídos y publicados públicamente, en sus propios sitios web. La ironía es a la vez cruel y elocuente: ni siquiera los implicados en la delincuencia digital son inmunes a sus propios métodos.

Lockbit pwned
Lockbit pwned: making affiliate panel data available (Enlace a tweet)

El incidente ha arrojado luz sobre toda una parte del ecosistema de LockBit, hasta ahora opaca para los investigadores de ciberseguridad.

No es la primera vez que la banda sufre reveses: en mayo de 2024, por ejemplo, las fuerzas de seguridad internacionales llevaron a cabo la operación Cronos , que se saldó con la detención de varios miembros clave, entre ellos Dmitry Yuryevich Khoroshev, el presunto operador detrás del alias LockBitSupp.

Pero esta última filtración es mucho más que una bofetada en la cara: podría tener consecuencias de gran alcance tanto para la organización interna del grupo como para nuestra comprensión de las tácticas utilizadas por el ransomware como servicio (RaaS).

Revelations Lockbit hacking

Una ventana sin precedentes al interior de un imperio criminal

Datos que revelan prácticas opacas

La base de datos SQL expuesta contiene información edificante: más de 75 cuentas afiliadas, miles de conversaciones con víctimas, 60.000 direcciones Bitcoin e incluso contraseñas almacenadas en texto claro («Weekendlover69», «MovingBricks69420» y «Lockbitproud231»).

Para los especialistas en inteligencia abierta, este tesoro representa una rara oportunidad de analizar en detalle el funcionamiento interno de una red delictiva estructurada.

Entre las características más llamativas: un retraso de hasta diez días entre la exfiltración de datos y el cifrado final. Esto subraya la creciente importancia de detectar los movimientos laterales y las transferencias de datos antes de que se lance una petición de rescate.

Un modelo RaaS complejo pero vulnerable

LockBit se basa en un modelo de franquicia: un núcleo central desarrolla las herramientas, mientras que los afiliados ejecutan los ataques.

De las 75 cuentas identificadas, sólo 44 estaban activas, y aún menos participaban en operaciones ofensivas en el momento de la filtración.

Sólo siete parecían estar ejecutando campañas en tiempo real. Esta estructura jerárquica, aunque rentable, muestra sus límites cuando la seguridad del núcleo central se ve comprometida.

Además, las conversaciones entre negociadores y víctimas revelaron una tendencia preocupante: los rescates exigidos suelen rondar los 20.000 dólares o incluso menos, con una marcada preferencia por Monero, que a menudo se ofrece con un 20% de descuento a cambio de un pago inmediato.

Esta elección refleja un creciente deseo de anonimato, en respuesta a los crecientes esfuerzos de las autoridades por rastrear los flujos criptográficos.

Una nueva geografía de objetivos

Asia-Pacífico en el centro de las operaciones

Contrariamente a lo que se cree, no son ni Europa ni Norteamérica las regiones que atraen principalmente a los afiliados de LockBit, sino Asia-Pacífico, que representa el 35,5% de sus objetivos.

China encabeza la lista con 51 víctimas identificadas, seguida de Indonesia (49) e India (35). Este enfoque regional sugiere que las amenazas se subestiman en estos países , donde la ciberseguridad es a veces menos madura o menos publicitada.

Algunos afiliados, como PiotrBond y Umarbishop47, concentran más del 75% de sus ataques en esta región, lo que ilustra una segmentación estratégica.

Por el contrario, Corea del Sur parece estar infrarrepresentada en los datos, aunque no es posible identificar la razón exacta de ello.

fuente: computerweekly.com

Una estrategia de segmentación asimétrica

Los datos también revelan un fenómeno intrigante: los afiliados más activos no se dirigen necesariamente a las víctimas más lucrativas.

Muchos se dirigen a organizaciones más pequeñas de países de renta media de todo el mundo. Este cambio de estrategia puede explicarse por una menor disponibilidad de talentos tras las detenciones relacionadas conla operación Cronos , o por un deseo de minimizar las presiones geopolíticas evitando las grandes economías.

Démantèlement de Lockbit
Pantalla de incautación de la página web del grupo Lockbit durante la Operación Cronos

Lo que esto revela sobre la resistencia de los grupos de ransomware

Un sistema debilitado pero no extinguido

A pesar de los golpes asestados por la policía y de esta vergonzosa filtración, LockBit intenta mantener su presencia.

En diciembre de 2024, el grupo anunció su inminente regreso en febrero de 2025. Unos meses más tarde, mientras algunos afirman ver el declive de la banda, otros permanecen alerta: el ecosistema del ransomware es muy adaptable, y nuevos grupos como SuperBlack ya parecen listos para tomar el relevo.

Lecciones para la defensa

Los expertos en ciberseguridad extraen varias lecciones operativas de esta filtración:

  • Priorizar la aplicación de parches : LockBit ha explotado decenas de CVE críticas en los últimos años, entre ellas CVE-2023-4966 (Citrix), CVE-2022-22965 (VMware), CVE-2021-44228 (Log4j). Corregirlos rápidamente es esencial.
  • Proteja los sistemas olvidados : Las soluciones de copia de seguridad(como Veeam), los hipervisores VMware ESXi, los NAS y las herramientas administrativas (FileZilla, WinSCP) figuran ahora entre los objetivos favoritos de los ciberdelincuentes.
  • Vigilar las fugas de datos : El periodo entre la exfiltración y el cifrado ofrece una ventana de oportunidad crítica para intervenir antes de que el daño sea irreversible.

Conclusión: una llamada de atención para todos los actores de la ciberseguridad

El caso LockBit ilustra hasta qué punto incluso las estructuras criminales mejor organizadas pueden verse afectadas por sus propias deficiencias de ciberseguridad. También sirve para recordar la importancia de la colaboración internacional, las investigaciones forenses y la investigación ofensiva para contrarrestar la persistente amenaza del ransomware.

Para las empresas, este caso de libro de texto debería servir de catalizador: es imperativo reforzar las posturas defensivas, anticiparse a los puntos de entrada explotados por los ciberdelincuentes y comprender que la amenaza nunca duerme, incluso cuando parece tambalearse.

En caso de incidente, nuestro servicio de recuperación de datos por ransomware está disponible 24 horas al día, 7 días a la semana.

Picture of Florent Chassignol
Florent Chassignol

Partager cet article

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Copyright © 2025 Recoveo | Réalisation par Tell It