Informe 2025 sobre la criptodelincuencia: Vea las tendencias clave que dieron forma al mercado ilícito de criptomonedas durante el año pasado. Leer el informe

Soluciones
Aprenda
Empresa
Solicitar una demostración
en
Buscar en
Buscar en
Perspectivas
20 de febrero de 2024

La NCA británica, el DOJ estadounidense, FBI y Europol desarticulan el grupo de Ransomware Lockbit

TRM InsightsPerspectivas
La NCA británica, el DOJ estadounidense, FBI y Europol desarticulan el grupo de Ransomware Lockbit

La Agencia Nacional contra la Delincuencia del Reino Unido (NCA), el Department of Justice los Estados UnidosDOJ), el FBI y Europol han anunciado hoy la desarticulación del conocido grupo de ransomware LockBit y el desmantelamiento de la infraestructura de su sitio web asociado.

LockBit es uno de los grupos de ransomware más prolíficos del mundo. El grupo ha tenido un impacto sin precedentes en empresas e infraestructuras críticas de todo el mundo, utilizando un modelo Ransomware(RaaS) para llevar a cabo miles de ataques y extorsionar a las víctimas para que paguen grandes rescates en criptomoneda. A través del análisis en cadena, TRM estima que las direcciones controladas por los administradores y afiliados de LockBit han recibido más de 160 millones de GBP (o 200 millones de USD) en bitcoin desde 2022, de los cuales más de 85 millones de GBP (o 110 millones de USD) aún no se han gastado en múltiples direcciones en cadena. 

Impacto económico de LockBit 

Desde enero de 2020, LockBit ha sido la variante de ransomware más desplegada en el mundo, con afiliados que atacan a organizaciones de distintos tamaños en toda una serie de sectores de infraestructuras críticas, como servicios financieros, alimentación y agricultura, educación, energía, servicios gubernamentales y de emergencia, sanidad, fabricación y transporte. Algunos de los ataques más destacados de LockBit son los perpetrados contra Entrust (junio de 2022), la Agencia Tributaria Italiana (julio de 2022), Royal Mail (enero de 2023), IBM (mayo de 2023), Carthage Area Hospital & the Clayton-Hepburn Medical Center (septiembre de 2023) y Boeing (noviembre de 2023).

El coste económico de estos ataques va mucho más allá del pago inicial del rescate e incluye pérdidas por interrupción de las operaciones y daños a la reputación. El informe Cost of a Data Breach Report 2023 de IBM ha calculado que el coste medio de una violación de datos causada por un ataque de ransomware , sin incluir el pago del rescate, es de 4,45 millones de USD. LockBit ha cometido más de 2.000 ataques confirmados, lo que sugiere que su impacto económico podría superar los 8.000 millones de dólares. 

LockBit ha evolucionado de ABCD a LockBit Green

LockBit surgió en 2019 como una evolución del ransomware ABCD. Sus versiones han evolucionado a lo largo de los años: de LockBit a LockBit 2.0, también conocido como LockBit Red, a LockBit 3.0, también conocido como LockBit Black, y a LockBit Green, que incorpora código fuente del ransomware Conti. Esta última variante incluye un programa de recompensas por errores, criptomonedas con privacidad mejorada (por ejemplo, Zcash) y nuevos métodos de extorsión, que incorporan estrategias de las operaciones de ransomware BlackMatter y DarkSide. Esta versión, equipada con técnicas antidetección y ejecución sin contraseña, también introdujo ataques de denegación de servicio para ampliar las capacidades y tácticas de LockBit para extorsionar a las víctimas.

LockBit ha ampliado su impacto con incentivos a los afiliados 

El modelo operativo de LockBit como grupo RaaS ha sido un motor clave para la escala de impacto y notoriedad que el grupo ha alcanzado. LockBit se ha distinguido en el mercado RaaS por la forma en que ha incentivado a los afiliados a utilizar las herramientas y la infraestructura de LockBit para ejecutar ataques. Estos incentivos han incluido garantizar que los afiliados reciban primero su parte de los pagos de los rescates, recompensar la actividad promocional y las críticas públicas a las plataformas RaaS de la competencia, y simplificar el despliegue de ransomware con interfaces fáciles de usar.

Tácticas, técnicas y procedimientos (TTP) de LockBit

Los ataques de ransomware de LockBit suelen implicar el acceso inicial mediante la explotación de vulnerabilidades, phishing o forzamiento brusco de protocolos de escritorio remoto. Una vez dentro de la red, los actores de LockBit han utilizado herramientas como PowerShell Empire, Cobalt Strike y PsExec para el movimiento lateral y para preparar el cifrado. A menudo borran los registros para dificultar la capacidad de recuperación de la víctima. Los actores de LockBit, junto con cepas de ransomware como Rorschach y Babuk, utilizan con frecuencia una técnica llamada cifrado intermitente, que se centra sólo en partes de los archivos para realizar ataques más rápidos y eficaces. Al minimizar la duración de la fase visible del ataque, los agresores aumentan sus probabilidades de éxito frente a las defensas de ciberseguridad.

Una vez que LockBit cifra los datos, los autores de la amenaza ordenan a las víctimas que paguen un rescate por las claves de descifrado. El grupo de ransomware también opera un sitio de filtraciones donde publica información sobre sus víctimas. Este sitio se utiliza como parte de una táctica de doble extorsión: si una víctima se niega a pagar el rescate, LockBit amenaza con publicar sus datos robados en esta plataforma pública. El sitio de filtraciones sirve como herramienta para presionar a las víctimas para que cumplan con las peticiones de rescate mediante la exposición pública de información sensible, lo que aumenta los riesgos operativos y de reputación para las organizaciones afectadas.

LockBit ha utilizado Bitcoin como criptomoneda principal para facilitar el pago de rescates, pero con la evolución de LockBit 3.0, el grupo ha introducido opciones de pago con privacidad mejorada, como ZCash, tanto para cobrar a las víctimas como para pagar a sus afiliados.

El análisis en cadena de la actividad de LockBit pone de relieve la estructura operativa del grupo, en la que los pagos iniciales de rescate de las víctimas sufren una división financiera: el 80% va al afiliado de LockBit y el 20% a los administradores de LockBit. Posteriormente, los operadores de LockBit han utilizado Wasabi 2.0 para mezclar fondos y múltiples intercambios no custodiados y VASP centralizados en Estados Unidos y Asia para blanquear los fondos de las víctimas.

Gráfico de TRM que muestra los pagos iniciales del rescate y el reparto financiero 80/20 entre los afiliados y los administradores de LockBit.
‍TRMGráfico que muestra el blanqueo del pago de un rescate de 13 millones de USD a través de varios proveedores de servicios de valor añadido.
Gráfico de TRM que muestra el blanqueo del producto de los rescates mediante múltiples cobros menores en múltiples VASP.

El papel de Inteligencia en Blockchain en la disrupción Ransomware 

El ataque de hoy continúa la serie de ataques a los que las fuerzas de seguridad de todo el mundo han dado prioridad, ya que el ransomware sigue representando una amenaza para los ciudadanos y las empresas. Dada la naturaleza en constante evolución y el incesante coste económico de esta amenaza, esperamos seguir viendo un fuerte enfoque en la interrupción de los actores de amenazas de ransomware . 

Mientras que los grupos de ransomware pueden evolucionar sus TTPs y nombres, el blockchain sigue siendo un libro de contabilidad inmutable. Las herramientas de Inteligencia en Blockchain seguirán desempeñando un papel clave a la hora de permitir incautaciones y detener a los malos actores. 

TRM se enorgullece de apoyar a la NCA y a las fuerzas del orden de todo el mundo en sus continuos esfuerzos por salvaguardar la integridad de nuestros sistemas financieros.

Esto es un texto dentro de un bloque div.
Suscríbase y manténgase al día de nuestras novedades
flecha derecha
7 de julio de 2023

Cómo los grupos de Ransomware recurren a datos baratos (robados) para lanzar campañas de extorsión

flecha derecha
6 de abril de 2022

El análisis de TRM corrobora los presuntos vínculos entre los grupos Conti y Ryuk Ransomware y Wizard Spider

flecha derecha
14 de mayo de 2021

Profundizando en el pago del Ransomware Darkside

Acceda a nuestra cobertura de TRON, Solana y otras 23 blockchains

Rellene el formulario para hablar con nuestro equipo sobre los servicios profesionales de investigación.

Servicios de interés
Seleccione
Transaction Monitoring/Wallet Screening
Servicios de formación
Servicios de formación
 
Al hacer clic en el botón siguiente, acepta la política de privacidad deTRM Labs .
Muchas gracias. Hemos recibido su envío.
¡Uy! Algo ha ido mal al enviar el formulario.
No se han encontrado artículos.
Ilustración de delito de criptomoneda sobre fondo azul oscuro con símbolos de blockchain en azul brillante y blanco (incluidos Bitcoin y TRON), gráficos financieros y un icono de hacker.
INFORME
Informe 2025 sobre la criptodelincuencia: Explore cómo evolucionó el panorama de la criptodelincuencia en el último año
DIG IN NOW →
Cables de fibra óptica azul brillante sobre fondo azul oscuro, con destellos de chispas blancas intercaladas.
INFORME
A medida que la tecnología de IA se vuelve más sofisticada, también lo hacen las formas en que los delincuentes la utilizan. Vea lo que hace TRM para combatir la delincuencia basada en IA.
LUCHA AI CON AI →
Ilustración de delito de criptomoneda sobre fondo azul oscuro con símbolos de blockchain en azul brillante y blanco (incluidos Bitcoin y TRON), gráficos financieros y un icono de hacker.
INFORME
El panorama de la criptodelincuencia experimentó cambios significativos en 2024, incluyendo descensos en los volúmenes ilícitos. Profundiza en los datos aquí.
VISTA PREVIA DEL INFORME SOBRE DELITOS CRIPTOGRÁFICOS →
Tablero de corcho con fotografías de Heather "Razzlekhan" Morgan e Ilya Lichtenstein, con sus nombres escritos a mano debajo de sus fotos y chinchetas en el tablero conectadas por una cuerda roja.
DOCUMENTAL
Transmite “El atraco más grande de la historia” y mira detrás de escena al equipo de TRM
ÉCHALE UN VISTAZO →
Un círculo bidimensional azul claro (que representa una moneda estable) flotando sobre líneas curvas de color azul oscuro y blanco (que representan ondas), con finas líneas punteadas de color azul y blanco en lo alto para representar el viento.
INFORME
Explore las tendencias macro y los desarrollos jurisdiccionales que dieron forma al panorama de políticas criptográficas globales en 2024
LEA EL INFORME →
Ilustración sobre un fondo azul oscuro que muestra un insecto y un signo de exclamación (que representa una actividad ilícita), un globo terráqueo con puntas de alfiler, una moneda y un gráfico de barras.
INFORME
Vea los países con las tasas más altas de adopción de criptomonedas y las tasas más altas de exposición a actividades ilícitas
LEA EL INFORME AHORA →
Un rectángulo azul con formas geométricas en el fondo y puntos conectados por líneas finas en primer plano, que representan conexiones en la cadena de bloques.
LIBRO BLANCO
Explore cuatro formas en que la TRM mejora el cumplimiento en la era moderna de aplicación de sanciones
Descargar el libro blanco →
Ilustración de un gráfico de pig butchering con varios logotipos de criptomonedas en cada sección, con una insignia de sheriff azul brillante en la parte superior, que simboliza el papel de las fuerzas del orden en la lucha contra el fraude.
CASO EJEMPLO
Vea cómo la ayudante del fiscal Erin West y el grupo de trabajo REACT están luchando contra la delincuencia organizada. pig butchering
VER EL VÍDEO →
Ilustración de un ojo, una calavera con huesos cruzados y un gráfico circular sobre fondo azul claro, que simboliza los peligros de las criptoestafas y el fraude financiero.
INFORME
Explora las tendencias clave que dieron forma a la criptoeconomía ilícita en 2023
OBTENER EL INFORME →
Primer plano del edificio del Capitolio de los Estados Unidos con nieve cayendo
BLOG
Sepa por qué la criptomoneda se ha convertido en un tema central de las elecciones estadounidenses de 2024
LEER EL POSTE
Ilustración de una muñeca rusa de juguete que contiene un ataque ransomware dentro de la más pequeña
INFORME
Profundice en el ecosistema de criptomonedas ilícitas de habla rusa
LEER EL INFORME COMPLETO
Contorno de cerdo con el escudo de las fuerzas del orden superpuesto
Caso práctico
Más información sobre la actuación del Grupo Operativo REACT pig butchering
Leer el Caso práctico
Ilustración de una muñeca rusa de juguete que contiene un ataque ransomware dentro de la más pequeña
INFORME
Explore las tendencias recientes de ransomware en el ecosistema criptográfico de habla rusa, incluido el papel de los grupos ransomware en la ciberdelincuencia en todo el mundo.
OBTENGA EL INFORME
Persona escribiendo en un teclado de ordenador portátil con superposición azul oscuro filtrado
ENTRADA EN EL BLOG
Conozca la oleada de ataques a ransomware del verano de 2024 y la proliferación de RaaS en todo el mundo.
LEER EL POSTE
INFORME
Conozca el papel de las criptomonedas en el mercado internacional de precursores de drogas sintéticas
OBTENGA EL INFORME