UNIR
Ver temas

Última actualización: 15 · 03 · 2024

Operación Cronos y la importancia de un buen análisis CTI

Hace un par de meses que el ambiente comenzaba a notarse enrarecido para los analistas de CTI, una especialidad que, por su naturaleza dinámica y retadora, se vuelve cada vez más esencial en el ámbito de la seguridad informática. Y es que, antes de la operación Cronos, se produjeron un par de sucesos que es […]

Hace un par de meses que el ambiente comenzaba a notarse enrarecido para los analistas de CTI, una especialidad que, por su naturaleza dinámica y retadora, se vuelve cada vez más esencial en el ámbito de la seguridad informática. Y es que, antes de la operación Cronos, se produjeron un par de sucesos que es importante conocer.

Los antecedentes de la Operación Cronos

Las operaciones llevadas a cabo contra Blackcat, en noviembre de 2023, provocaron que Lockbit se ofreciera a realizar una “fusión” con estos, en un intento de aprovechar la situación y recabar miembros procedentes del grupo Blackcat.
Por otro lado, a finales de enero de 2024 se produjo un baneo del usuario “Lockbitsupp” en dos de los principales foros de habla rusa debido a un presunto impago de uno de sus cooperadores. Por lo tanto, el ambiente ya empezaba a caldearse.

Lockbit y la Operación Cronos

En mitad de este huracán de sucesos, el día 20 de febrero, antes de que la información sobre el éxito relativo de la Operación Cronos se anunciase, en distintos foros ya se hablaba sobre diferentes especulaciones, recibiendo la respuesta literal por parte de Lockbit: “FBI pwned me”.
Más tarde, en su propio sitio web, se podía leer: «Podemos confirmar que los servicios de Lockbit se han visto interrumpidos como resultado de la acción de las autoridades internacionales: esta es una operación en curso y en desarrollo.».

Publicaciones de víctimas por parte de Lockbit

Lockbit comienza a publicar víctimas con el formato habitual. En estos post se revela información de sus víctimas por parte de los FFCCSS que habían participado en la operación: FBI, NCA y Europol, durante un par de días y en franjas horarias diversas. Parecía que la operación, en un principio, había sido un éxito. Esto permitió la explotación de una vulnerabilidad web en PHP que Lockbit no tenía debidamente parcheada, el famoso CVE-2023-3824, que permite la ejecución de código remoto.

Los detalles de operación

En esta operación se habían incautado diversos servidores, hasta 34, también panel de afiliados, blog y chats, se congelaron fondos en más de 200 cuentas y se realizaron dos arrestos. Además, con la colaboración de la policía japonesa, se publicó un descifrador con las claves privadas que habían sido obtenidas. Incluso llegaron a colgar un post que dejaba leer entre líneas que conocían la identidad del usuario, y presunto líder de la organización criminal, Lockbitsupp.
En los diferentes medios se podía observar una clara actitud de celebración por parte de la comunidad ciber, siendo los posts publicados en medios sobre esta operación el contenido más compartido durante esos días. Sin embargo, para algunos investigadores de CTI, esto era una reacción demasiado apresurada, pues ya contamos con la experiencia anterior de Blackcat, que, pocos días después de la operación, estaba de nuevo en funcionamiento.
Este tipo de situaciones remarca cómo, a través de una formación en CTI, los profesionales pueden aprender a realizar análisis profundos que van más allá de la superficie de las noticias.

Lockbit volvía a estar operativo

Debido a la organización de Lockbit y a su experiencia, no era algo extraño que tuvieran un plan de contingencia para este tipo de casos. Y así fue. Unos días después Lockbit emitió un comunicado en el nuevo sitio web que había sido levantado.
En él indicaban, que tenían una infraestructura bien preparada, y se jactaban de haberla restaurado en apenas 4 días. Por otro lado, desmentían claramente que los dos detenidos fruto de la operación Cronos pertenecieran a la banda y señalaban que se había detenido a inocentes.
Se reafirmaban en la continuidad de su actividad y señalaban al pentester como el único profesional con un mérito real dentro de la operación, ya que había sido capaz de localizar la vulnerabilidad de su sitio web. A esto, añadieron que, esta no había sido parcheada porque “de tanto nadar en dinero se habían vuelto perezosos”.

La importancia del CTI en el Cibercrimen

Pero lo que sí se confirmó fueron las teorías que varios analistas CTI discutimos esos días, que en la operación Cronos “no era oro todo lo que relucía” y que, al igual que pasó con Blackcat, no iba a ser una medida que dejara fuera de combate de forma definitiva al grupo.
Aquí subyace la importancia de un buen análisis en el que se tiene en cuenta el contexto, las peculiaridades y particularidades que rodean a todo el entorno del cibercrimen. Conocer estas variables y tenerlas en cuenta mientras las noticias se convierten en el centro de atención es vital a la hora de dotar de verdadero valor a la información.

¿Verdaderamente Lockbit está publicando nuevas víctimas?

En los últimos, los investigadores han comenzado a reparar en que alguna de estas compañías publicadas por Lockbit habría sufrido el ataque antes de la Operación Cronos. Por lo tanto, Lockbit estaría publicando víctimas antiguas.
Esto nos da a entender que, a pesar de que es altamente probable que la infraestructura de Lockbit esté preparada para operar conforme a lo habitual, la pérdida de confianza entre ella y los afiliados, es una consecuencia de la operación. Por lo tanto, el equipo de Lockbit se habría visto obligado a realizar este tipo de publicaciones para animar a sus socios a continuar con el trabajo normal. Todavía es pronto para saber si esto tendrá éxito o no, y cuáles serán los siguientes pasos, aunque tenemos el ejemplo de ALPHV, que en menos de un mes estaba de nuevo operativo.

La importancia de una buena formación en CTI

La capacidad de realizar un análisis contextual y detallado, considerando las peculiaridades que rodean al cibercrimen, es fundamental. La formación en CTI, como la que ofrece Kschool, no solo prepara a los estudiantes para entender estos contextos, sino también para aportar valor añadido a la información, una habilidad invaluable tanto para empresas privadas como para la colaboración con organismos públicos.

 

Ainoa Guillen González

El artículo Operación Cronos y la importancia de un buen análisis CTI fue escrito el 15 de marzo de 2024 y guardado bajo la categoría Ciberseguridad. Puedes encontrar el post en el que hablamos sobre Descubre la importancia de un buen analisis CTI y conoce el área de formación en ciberseguridad de KSchool..

Descrubre nuestros cursos

07 · 05 · 2024

Estudiar Hacking Ético: las empresas buscan hackers profesionales

¿Sabes qué es el Hacking Ético y por qué cada vez más empresas buscan hackers profesionales para incorporarlos a sus filas? Te contamos en qué consiste, cuáles son las funciones de estos profesionales, qué ventajas tiene utilizarlo y por qué es una apuesta segura tanto para las empresas como para los profesionales en el panorama […]

21 · 11 · 2024

Cómo ser perito informático: funciones y requisitos para el puesto

¿Sabes qué es un perito informático, qué funciones tiene y qué requisitos se necesitan para poder desempeñar el puesto? Te damos las claves para que puedas conocer todas las características de este sector en auge. ¿Qué es un perito informático? Los peritos informáticos son aquellos profesionales que obtienen la información de ordenadores, teléfonos móviles u […]

30 · 04 · 2024

¿Qué es el Pentesting?

¿Has oído alguna vez hablar del Pentesting? Se trata de una actividad esencial a la hora de garantizar la ciberseguridad en cualquier empresa u organización. Te contamos en qué es, cuáles son sus funciones y por qué es importante tener una formación adecuada para llevarla a cabo. Qué es el Pentesting Es una de las […]

Noticias Ciberseguridad

21 · 11 · 2024

Los perfiles más demandados en ciberseguridad

En la actualidad la ciberseguridad es clave a la hora de proteger la infraestructura digital de ataques maliciosos o robos de información para garantizar su seguridad y buen funcionamiento. Por este motivo, cada vez con más necesarios los profesionales expertos en esta materia. Te contamos cuáles son los perfiles más demandados en ciberseguridad. Los perfiles […]