Operación Cronos y la importancia de un buen análisis CTI

Hace un par de meses que el ambiente comenzaba a notarse enrarecido para los analistas de CTI, una especialidad que, por su naturaleza dinámica y retadora, se vuelve cada vez más esencial en el ámbito de la seguridad informática. Y es que, antes de la operación Cronos, se produjeron un par de sucesos que es importante conocer.

Los antecedentes de la Operación Cronos

Las operaciones llevadas a cabo contra Blackcat, en noviembre de 2023, provocaron que Lockbit se ofreciera a realizar una “fusión” con estos, en un intento de aprovechar la situación y recabar miembros procedentes del grupo Blackcat.
Por otro lado, a finales de enero de 2024 se produjo un baneo del usuario “Lockbitsupp” en dos de los principales foros de habla rusa debido a un presunto impago de uno de sus cooperadores. Por lo tanto, el ambiente ya empezaba a caldearse.

Lockbit y la Operación Cronos

En mitad de este huracán de sucesos, el día 20 de febrero, antes de que la información sobre el éxito relativo de la Operación Cronos se anunciase, en distintos foros ya se hablaba sobre diferentes especulaciones, recibiendo la respuesta literal por parte de Lockbit: “FBI pwned me”.
Más tarde, en su propio sitio web, se podía leer: «Podemos confirmar que los servicios de Lockbit se han visto interrumpidos como resultado de la acción de las autoridades internacionales: esta es una operación en curso y en desarrollo.».

Publicaciones de víctimas por parte de Lockbit

Lockbit comienza a publicar víctimas con el formato habitual. En estos post se revela información de sus víctimas por parte de los FFCCSS que habían participado en la operación: FBI, NCA y Europol, durante un par de días y en franjas horarias diversas. Parecía que la operación, en un principio, había sido un éxito. Esto permitió la explotación de una vulnerabilidad web en PHP que Lockbit no tenía debidamente parcheada, el famoso CVE-2023-3824, que permite la ejecución de código remoto.

Los detalles de operación

En esta operación se habían incautado diversos servidores, hasta 34, también panel de afiliados, blog y chats, se congelaron fondos en más de 200 cuentas y se realizaron dos arrestos. Además, con la colaboración de la policía japonesa, se publicó un descifrador con las claves privadas que habían sido obtenidas. Incluso llegaron a colgar un post que dejaba leer entre líneas que conocían la identidad del usuario, y presunto líder de la organización criminal, Lockbitsupp.
En los diferentes medios se podía observar una clara actitud de celebración por parte de la comunidad ciber, siendo los posts publicados en medios sobre esta operación el contenido más compartido durante esos días. Sin embargo, para algunos investigadores de CTI, esto era una reacción demasiado apresurada, pues ya contamos con la experiencia anterior de Blackcat, que, pocos días después de la operación, estaba de nuevo en funcionamiento.
Este tipo de situaciones remarca cómo, a través de una formación en CTI, los profesionales pueden aprender a realizar análisis profundos que van más allá de la superficie de las noticias.

Lockbit volvía a estar operativo

Debido a la organización de Lockbit y a su experiencia, no era algo extraño que tuvieran un plan de contingencia para este tipo de casos. Y así fue. Unos días después Lockbit emitió un comunicado en el nuevo sitio web que había sido levantado.
En él indicaban, que tenían una infraestructura bien preparada, y se jactaban de haberla restaurado en apenas 4 días. Por otro lado, desmentían claramente que los dos detenidos fruto de la operación Cronos pertenecieran a la banda y señalaban que se había detenido a inocentes.
Se reafirmaban en la continuidad de su actividad y señalaban al pentester como el único profesional con un mérito real dentro de la operación, ya que había sido capaz de localizar la vulnerabilidad de su sitio web. A esto, añadieron que, esta no había sido parcheada porque “de tanto nadar en dinero se habían vuelto perezosos”.

La importancia del CTI en el Cibercrimen

Pero lo que sí se confirmó fueron las teorías que varios analistas CTI discutimos esos días, que en la operación Cronos “no era oro todo lo que relucía” y que, al igual que pasó con Blackcat, no iba a ser una medida que dejara fuera de combate de forma definitiva al grupo.
Aquí subyace la importancia de un buen análisis en el que se tiene en cuenta el contexto, las peculiaridades y particularidades que rodean a todo el entorno del cibercrimen. Conocer estas variables y tenerlas en cuenta mientras las noticias se convierten en el centro de atención es vital a la hora de dotar de verdadero valor a la información.

¿Verdaderamente Lockbit está publicando nuevas víctimas?

En los últimos, los investigadores han comenzado a reparar en que alguna de estas compañías publicadas por Lockbit habría sufrido el ataque antes de la Operación Cronos. Por lo tanto, Lockbit estaría publicando víctimas antiguas.
Esto nos da a entender que, a pesar de que es altamente probable que la infraestructura de Lockbit esté preparada para operar conforme a lo habitual, la pérdida de confianza entre ella y los afiliados, es una consecuencia de la operación. Por lo tanto, el equipo de Lockbit se habría visto obligado a realizar este tipo de publicaciones para animar a sus socios a continuar con el trabajo normal. Todavía es pronto para saber si esto tendrá éxito o no, y cuáles serán los siguientes pasos, aunque tenemos el ejemplo de ALPHV, que en menos de un mes estaba de nuevo operativo.

La importancia de una buena formación en CTI

La capacidad de realizar un análisis contextual y detallado, considerando las peculiaridades que rodean al cibercrimen, es fundamental. La formación en CTI, como la que ofrece Kschool, no solo prepara a los estudiantes para entender estos contextos, sino también para aportar valor añadido a la información, una habilidad invaluable tanto para empresas privadas como para la colaboración con organismos públicos.

Ainoa Guillen González