LockBit mintió: los datos robados son de un banco, no de la Reserva Federal de EE. UU.

Luis Quiles
Luis Quiles
reserva-federal-reserve-starburst
Ataque cibernético, Fraude Bancario

El recientemente desarticulado grupo de ransomware LockBit, en un intento desesperado por volver a la escena, afirmó esta semana que había atacado a la Reserva Federal, el banco central de los Estados Unidos.

Esta audaz afirmación fue seguida por la declaración de LockBit de que había robado 33 terabytes de información bancaria sensible perteneciente a estadounidenses y que las negociaciones estaban en curso.

Sin embargo, el rumor ha sido desmentido. Resulta que el actor de la amenaza atacó a un banco individual, y no a la Reserva Federal.

Afirmaciones audaces

El domingo 23 de junio, el grupo de ransomware LockBit anunció que había violado la seguridad de la Reserva Federal (también conocida como The Fed), la institución económica más poderosa de los Estados Unidos.

«33 terabytes de jugosa información bancaria que contienen los secretos bancarios de los estadounidenses», afirmó LockBit en su sitio de filtraciones, insinuando que el grupo había accedido a los sistemas de la Fed y robado datos sensibles.

El operador del ransomware también sugirió que las negociaciones estaban en curso y que un «idiota clínico» les ofreció $50,000 para no filtrar los datos.

«Será mejor que contraten a otro negociador dentro de las próximas 48 horas y despidan a este idiota clínico que valora el secreto bancario de los estadounidenses en $50,000.»

federal-reserve-lockbit-claim
LockBit afirma que atacó la Fed y filtra datos (Hackmanac)

Eventualmente, el grupo comenzó a publicar los datos robados en su sitio.

Algunos medios de comunicación informaron sobre la alegación sin obtener una declaración de la Reserva Federal ni verificar si la organización había sido realmente atacada como afirmaba LockBit.

Resulta que no es la Fed, sino una institución financiera estadounidense individual la que los actores de la amenaza han atacado en este incidente.

«Al parecer, han violado la seguridad del banco estadounidense Evolve Bank & Trust», publicó la empresa de monitoreo de amenazas cibernéticas HackManac en una actualización en redes sociales.

«Por ahora, aún no hay rastro de archivos ‘secretos’, pero el análisis continúa».

BleepingComputer se comunicó con Evolve Bank & Trust con preguntas relacionadas con el ataque y la institución financiera confirmó que los actores de la amenaza han «obtenido ilegalmente» datos de sus sistemas.

«Evolve está investigando actualmente un incidente de ciberseguridad que involucra a una organización cibercriminal conocida. Parece que estos actores maliciosos han publicado datos obtenidos ilegalmente en la dark web», dijo un portavoz de Evolve a BleepingComputer.

«Nos tomamos este asunto extremadamente en serio y estamos trabajando incansablemente para abordar la situación. Evolve ha involucrado a las autoridades policiales apropiadas para ayudar en nuestros esfuerzos de investigación y respuesta. Este incidente ha sido contenido y no hay una amenaza continua.»

«En respuesta a este evento, ofreceremos a todos los clientes afectados monitoreo de crédito gratuito con servicios de protección contra el robo de identidad. Los afectados serán contactados directamente con instrucciones sobre cómo inscribirse en estas medidas de protección. Además, los clientes afectados recibirán nuevos números de cuenta si es necesario.»

«Las actualizaciones y más información se publicarán en nuestro sitio web a medida que estén disponibles.»

Preguntamos a Evolve si sabían exactamente cuándo los actores de la amenaza habían robado estos datos y cómo fueron vulnerados los sistemas del banco.

«No se harán más comentarios durante la investigación», respondió Evolve a BleepingComputer.

También intentamos comunicarnos con LockBitSup, el gerente de la operación de ransomware, pero parece que hemos sido bloqueados por él.

Curiosamente, recientemente la Reserva Federal había penalizado a Evolve Bank & Trust por múltiples «deficiencias» identificadas en la gestión de riesgos, el cumplimiento de las leyes contra el lavado de dinero (AML) y las prácticas de cumplimiento del banco.

Las examinaciones realizadas en 2023 encontraron que el banco había «participado en prácticas bancarias inseguras e inadecuadas al no tener en marcha un marco de gestión de riesgos efectivo para esas asociaciones.»

Como resultado, la Fed exigió que Evolve detuviera algunas de sus actividades hasta que el banco mejorara sus políticas de gestión de riesgos y cumpliera con las leyes y regulaciones AML.

"Un intento desesperado por mantener la relevancia"

En respuesta a las afirmaciones infundadas del operador de ransomware, AzAl Security describió esto como un «intento desesperado de LockBit por mantenerse relevante».

Anteriormente conocido por ejecutar ataques de ransomware contra objetivos de alto perfil como Boeing, el gigante automotriz Continental, el Servicio de Impuestos Internos de Italia, Bank of America, el Royal Mail del Reino Unido y, más recientemente, London Drugs, el grupo de ciberdelincuencia se encontró en problemas este año.

En febrero, las fuerzas del orden desmantelaron la infraestructura de LockBit en una acción conocida como Operación Cronos y confiscaron 34 servidores que contenían más de 2,500 claves de descifrado, lo que ayudó a crear un descifrador gratuito para el ransomware LockBit 3.0 Black.

Habiendo prosperado en su apogeo, LockBit parece haber entrado en tiempos difíciles, lo que lo obliga a recurrir a afirmaciones engañosas para mantenerse relevante.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética