Ver temas

Última actualización: 15 · 03 · 2024

Operación Cronos y la importancia de un buen análisis CTI

Hace un par de meses que el ambiente comenzaba a notarse enrarecido para los analistas de CTI, una especialidad que, por su naturaleza dinámica y retadora, se vuelve cada vez más esencial en el ámbito de la seguridad informática. Y es que, antes de la operación Cronos, se produjeron un par de sucesos que es […]

Hace un par de meses que el ambiente comenzaba a notarse enrarecido para los analistas de CTI, una especialidad que, por su naturaleza dinámica y retadora, se vuelve cada vez más esencial en el ámbito de la seguridad informática. Y es que, antes de la operación Cronos, se produjeron un par de sucesos que es importante conocer.

Los antecedentes de la Operación Cronos

Las operaciones llevadas a cabo contra Blackcat, en noviembre de 2023, provocaron que Lockbit se ofreciera a realizar una “fusión” con estos, en un intento de aprovechar la situación y recabar miembros procedentes del grupo Blackcat.
Por otro lado, a finales de enero de 2024 se produjo un baneo del usuario “Lockbitsupp” en dos de los principales foros de habla rusa debido a un presunto impago de uno de sus cooperadores. Por lo tanto, el ambiente ya empezaba a caldearse.

Lockbit y la Operación Cronos

En mitad de este huracán de sucesos, el día 20 de febrero, antes de que la información sobre el éxito relativo de la Operación Cronos se anunciase, en distintos foros ya se hablaba sobre diferentes especulaciones, recibiendo la respuesta literal por parte de Lockbit: “FBI pwned me”.
Más tarde, en su propio sitio web, se podía leer: «Podemos confirmar que los servicios de Lockbit se han visto interrumpidos como resultado de la acción de las autoridades internacionales: esta es una operación en curso y en desarrollo.».

Publicaciones de víctimas por parte de Lockbit

Lockbit comienza a publicar víctimas con el formato habitual. En estos post se revela información de sus víctimas por parte de los FFCCSS que habían participado en la operación: FBI, NCA y Europol, durante un par de días y en franjas horarias diversas. Parecía que la operación, en un principio, había sido un éxito. Esto permitió la explotación de una vulnerabilidad web en PHP que Lockbit no tenía debidamente parcheada, el famoso CVE-2023-3824, que permite la ejecución de código remoto.

Los detalles de operación

En esta operación se habían incautado diversos servidores, hasta 34, también panel de afiliados, blog y chats, se congelaron fondos en más de 200 cuentas y se realizaron dos arrestos. Además, con la colaboración de la policía japonesa, se publicó un descifrador con las claves privadas que habían sido obtenidas. Incluso llegaron a colgar un post que dejaba leer entre líneas que conocían la identidad del usuario, y presunto líder de la organización criminal, Lockbitsupp.
En los diferentes medios se podía observar una clara actitud de celebración por parte de la comunidad ciber, siendo los posts publicados en medios sobre esta operación el contenido más compartido durante esos días. Sin embargo, para algunos investigadores de CTI, esto era una reacción demasiado apresurada, pues ya contamos con la experiencia anterior de Blackcat, que, pocos días después de la operación, estaba de nuevo en funcionamiento.
Este tipo de situaciones remarca cómo, a través de una formación en CTI, los profesionales pueden aprender a realizar análisis profundos que van más allá de la superficie de las noticias.

Lockbit volvía a estar operativo

Debido a la organización de Lockbit y a su experiencia, no era algo extraño que tuvieran un plan de contingencia para este tipo de casos. Y así fue. Unos días después Lockbit emitió un comunicado en el nuevo sitio web que había sido levantado.
En él indicaban, que tenían una infraestructura bien preparada, y se jactaban de haberla restaurado en apenas 4 días. Por otro lado, desmentían claramente que los dos detenidos fruto de la operación Cronos pertenecieran a la banda y señalaban que se había detenido a inocentes.
Se reafirmaban en la continuidad de su actividad y señalaban al pentester como el único profesional con un mérito real dentro de la operación, ya que había sido capaz de localizar la vulnerabilidad de su sitio web. A esto, añadieron que, esta no había sido parcheada porque “de tanto nadar en dinero se habían vuelto perezosos”.

La importancia del CTI en el Cibercrimen

Pero lo que sí se confirmó fueron las teorías que varios analistas CTI discutimos esos días, que en la operación Cronos “no era oro todo lo que relucía” y que, al igual que pasó con Blackcat, no iba a ser una medida que dejara fuera de combate de forma definitiva al grupo.
Aquí subyace la importancia de un buen análisis en el que se tiene en cuenta el contexto, las peculiaridades y particularidades que rodean a todo el entorno del cibercrimen. Conocer estas variables y tenerlas en cuenta mientras las noticias se convierten en el centro de atención es vital a la hora de dotar de verdadero valor a la información.

¿Verdaderamente Lockbit está publicando nuevas víctimas?

En los últimos, los investigadores han comenzado a reparar en que alguna de estas compañías publicadas por Lockbit habría sufrido el ataque antes de la Operación Cronos. Por lo tanto, Lockbit estaría publicando víctimas antiguas.
Esto nos da a entender que, a pesar de que es altamente probable que la infraestructura de Lockbit esté preparada para operar conforme a lo habitual, la pérdida de confianza entre ella y los afiliados, es una consecuencia de la operación. Por lo tanto, el equipo de Lockbit se habría visto obligado a realizar este tipo de publicaciones para animar a sus socios a continuar con el trabajo normal. Todavía es pronto para saber si esto tendrá éxito o no, y cuáles serán los siguientes pasos, aunque tenemos el ejemplo de ALPHV, que en menos de un mes estaba de nuevo operativo.

La importancia de una buena formación en CTI

La capacidad de realizar un análisis contextual y detallado, considerando las peculiaridades que rodean al cibercrimen, es fundamental. La formación en CTI, como la que ofrece Kschool, no solo prepara a los estudiantes para entender estos contextos, sino también para aportar valor añadido a la información, una habilidad invaluable tanto para empresas privadas como para la colaboración con organismos públicos.

 

Ainoa Guillen González

El artículo Operación Cronos y la importancia de un buen análisis CTI fue escrito el 15 de marzo de 2024 y guardado bajo la categoría Ciberseguridad. Puedes encontrar el post en el que hablamos sobre Descubre la importancia de un buen analisis CTI y conoce el área de formación en ciberseguridad de KSchool. bajo las siguientes etiquetas .

Descrubre nuestros cursos

09 · 01 · 2024

Cómo ser perito informático: funciones y requisitos para el puesto

¿Sabes qué es un perito informático, qué funciones tiene y qué requisitos se necesitan para poder desempeñar el puesto? Te damos las claves para que puedas conocer todas las características de este sector en auge. ¿Qué es un perito informático? Los peritos informáticos son aquellos profesionales que obtienen la información de ordenadores, teléfonos móviles u […]

24 · 01 · 2024

¿Qué es el Pentesting?

¿Has oído alguna vez hablar del Pentesting? Se trata de una actividad esencial a la hora de garantizar la ciberseguridad en cualquier empresa u organización. Te contamos en qué es, cuáles son sus funciones y por qué es importante tener una formación adecuada para llevarla a cabo. Qué es el Pentesting Es una de las […]

Noticias Ciberseguridad

25 · 10 · 2023

Los perfiles más demandados en ciberseguridad

En la actualidad la ciberseguridad es clave a la hora de proteger la infraestructura digital de ataques maliciosos o robos de información para garantizar su seguridad y buen funcionamiento. Por este motivo, cada vez con más necesarios los profesionales expertos en esta materia. Te contamos cuáles son los perfiles más demandados en ciberseguridad. Los perfiles […]

28 · 02 · 2024

Así fue la Graduación de KSchool en 2023

En KSchool creemos firmemente que cada logro alcanzado merece ser celebrado de una manera única. Por ello, después de cuatro largos años sin poder disfrutar de una graduación, finalmente llegó el esperado momento el pasado mes de junio. Nos reunimos en un magnífico rooftop con todos los alumnos que han pasado por nuestras aulas, ya […]

    Información sin compromiso

    Acepto que el asesor también me contacte a través de
    Deseo recibir información, también por WhatsApp, de KSCHOOL y otras empresas educativas del Grupo Proeduca.

      Por cierto...

      Selecciona las opciones que prefieres para comunicarnos contigo.

      Acepto que un asesor me contacte por Whatsapp
      Recibir información de KSchool, así como del resto de empresas del Grupo Proeduca, vinculadas al sector de la educación.

      Gracias

      Nos pondremos en
      contacto contigo lo antes
      posible.

      En cualquier caso, si tienes
      alguna pregunta o duda, puedes
      llamarnos al:

      919100954

      Lunes a jueves de 9:00 a 18:00 y viernes de
      9:00 a 14:00

      Terminar

      Llama ahora

      y un asesor te informará sin
      compromiso

      o si lo prefieres

      ¿Te llamamos?

        Acepto que un asesor me contacte por Whatsapp
        Recibir información de KSchool, así como del resto de empresas del Grupo Proeduca, vinculadas al sector de la educación.

        Talent Talk Marketing Digital - Evento con recruiters de BBVA, L'Oréal y SIDN Digital Talent - 18 de abril