Una operación internacional, coordinada por la NCA de Reino Unido, el FBI de Estados Unidos y Europol, en la que también han participado la Guardia Civil de España, la Gendarmería Nacional de Francia, varias unidades policiales de Alemania, la Unidad de Cibercrimen de Países Bajos, la Policía de Suecia, la Policía Federal de Australia, la Policía de Japón, la Policía de Suiza, y la Real Policía Montada de Canadá; ha conseguido asestar un nuevo golpe al grupo de ransomware más activo en la actualidad.
Dentro de la constante lucha contra los principales actores internacionales que amenazan la ciberseguridad, y la continua asfixia a la que se somete a estas organizaciones criminales por parte de las Fuerzas y Cuerpos de Seguridad de los distintos países, varias agencias han unido fuerzas y aunado capacidades para desarrollar una acción conjunta contra una de los principales grupos criminales en el ámbito del cibercrimen, que realiza ataques tanto a organismos públicos como empresas privadas.
Con la información de la que disponía cada cuerpo policial, y gracias al intercambio fluido de la misma, se ha conseguido coordinar una actuación conjunta a nivel mundial que ha permitido generar una inteligencia de gran valor acerca del principal grupo de ransomware a nivel mundial, y así poder actuar de forma eficiente contra el mismo.
El papel fundamental de la Guardia Civil
Dentro de las distintas labores realizadas por cada uno de los cuerpos policiales, destaca el papel de la Guardia Civil, aportando información de gran valor para esta investigación conjunta.
Los agentes de la Unidad Central Operativa de la Guardia Civil, en el marco de sus investigaciones contra distintos ataques del ransomware Lockbit 3.0, fueron capaces de identificar a uno de los actores más relevantes dentro de la infraestructura del grupo Lockbit.
De esta manera, la Guardia Civil ha conseguido identificar y detener al administrador del proveedor de servicios de internet empleado por este grupo criminal, el cual era conocido por ofrecer anonimato y privacidad a sus clientes, así como por su falta de cooperación con las autoridades policiales y judiciales, frecuentemente mencionado e incluso publicitado en foros de cibercriminales.
Con la detención del propietario del citado proveedor de servicios denominado "Bullet Proof Hosting", se consiguió acceder e incautar nueve servidores relevantes de la infraestructura de Lockbit. Gracias a ello se obtuvo información relevante para identificar a los principales miembros y afiliados del grupo de ransomware, continuándose en la actualidad con el análisis de la información recabada.
Lockbit y el Ransomware as a Service (RaaS)
Este grupo criminal es pionero en cuanto a la explotación de los modelos de "ransomware como servicio" (ransomware-as-a-service), que facilitaron el crecimiento del cibercrimen, haciéndolo accesible a personas sin conocimientos técnicos avanzados.
A pesar de las sofisticadas medidas utilizadas por estos criminales durante años para ocultar sus identidades y conexiones, la cooperación policial internacional ha permitido conocer su estructura, modus operandi e identificar a un gran número de sus integrantes.