En un giro dramático, el grupo de ransomware LockBit afirmó haber robado una gran cantidad de archivos de la Reserva Federal de EE. UU. y de Evolve Bank and Trust, alegando una falla en las negociaciones de rescate. El grupo amenazó con revelar 33 terabytes de datos bancarios confidenciales si no se cumplían sus demandas, acusando a la Reserva Federal de subvaluar el secreto bancario estadounidense. Esta escalada sigue a una orden de cese y desistimiento emitida a Evolve Bank por violaciones bancarias por parte de los reguladores federales. A pesar del escepticismo de los expertos en ciberseguridad sobre la validez de las afirmaciones, el incidente subraya las continuas amenazas a la ciberseguridad a instituciones críticas como la Reserva Federal.
El grupo afiliado a Rusia publicó 21 URL únicas que contienen archivos que parecen ser directorios principales, torrents y archivos comprimidos de otra institución financiera estadounidense, Evolve Bank and Trust.
El banco y su empresa matriz, Evolve Bancorp Inc., fueron recientemente señalados por la Reserva Federal por participar en actividades bancarias riesgosas y poco sólidas.
LockBit mencionó a la Reserva Federal en su blog de víctimas oscuras durante el fin de semana, amenazando con revelar los supuestos datos robados el 25 de junio si no se pagaba un rescate antes de la fecha límite.
El grupo, que afirmó haber obtenido “33 terabytes de jugosa información bancaria que contenía secretos bancarios de estadounidenses”, también dio a entender que las negociaciones habían fracasado debido a una inaceptable oferta de rescate del banco central estadounidense.
“Será mejor que contraten a otro negociador dentro de 48 horas y despidan a este idiota clínico que valora el secreto bancario de los estadounidenses en 50.000 dólares”, afirmó LockBit en su sitio secreto.
Mientras tanto, la Junta de la Reserva Federal emitió una orden de cese y desistimiento a Evolve Bank and Trust este mes, alegando numerosas «deficiencias» en los sistemas del banco contra el lavado de dinero, gestión de riesgos y cumplimiento del consumidor.
El prestamista hipotecario y de banca de consumo independiente, con sede en Memphis, Tennessee, presta servicios a personas y pequeñas empresas en al menos 17 estados de EE. UU., con activos estimados en 1.300 millones de dólares en 2022, según su sitio web.
Evolve también se destaca por sus colaboraciones de banca abierta con plataformas Fintech como Mastercard, Visa, Affirm, Melio, Stripe y Airwallex.
Como parte de la colección robada, LockBit amablemente adjuntó un comunicado de prensa de la Reserva Federal del 14 de junio sobre la acción de cumplimiento de Evolve.
Según Josh Jacobson, director de servicios profesionales de HackerOne, las amenazas de LockBit demuestran que «incluso nuestras entidades gubernamentales más integrales no son infalibles a los ataques de ransomware».
“Si la Reserva Federal se ve afectada, eso podría tener implicaciones globales. Esta no es una infraestructura aislada donde un número finito de clientes se ve afectado. El potencial impacto residual definitivamente es un factor, así como la reputación y la confianza a largo plazo”, dijo.
¿LockBit está mintiendo?
Muchos expertos en seguridad descartaron la afirmación del grupo el lunes, creyendo que era más probable que fuera un engaño dirigido a las autoridades estadounidenses por su ataque sistemático y a veces exitoso a la pandilla durante los últimos seis meses.
Jacobson observó que las advertencias de LockBit enfatizan con frecuencia el “impacto y la urgencia”, lo que aumenta la “mentalidad de lucha o huida” de la víctima. Es una técnica frecuente que funciona bien para las bandas de ransomware, según Jacobson.
La víctima piensa: “Dios mío, esto es malo y tengo que hacer algo ahora mismo, estoy bajo mucha presión”, añadió, añadiendo que “la incertidumbre agrava el acontecimiento”.
«En este momento, sentimos que el anuncio de LockBit podría ser un engaño», coincidió Aviral Verma, analista principal de seguridad de la empresa de ciberseguridad Securin.
Verma también señaló que, hasta el martes, la banda no había hecho pública ninguna muestra de datos robados, lo que era contrario a su práctica habitual.
«Esta no será la primera vez que el grupo haga afirmaciones falsas; el grupo incluso ha declarado al FBI como una de sus víctimas por frustración», dijo Verma, refiriéndose al desmantelamiento temporal del grupo en febrero, denominado Operación Cronos.
«Existe la sospecha de que la afirmación de la Reserva Federal podría ser simplemente una búsqueda de atención, o incluso una estratagema para recuperar notoriedad entre potenciales afiliados», dijo Verma a la audiencia.
LockBit, responsable del 48% de los ataques en 2023
La organización cibercriminal ha evadido con éxito la aplicación de la ley desde su formación a fines de 2019.
Se informa que el cártel LockBit, que opera mediante ransomware como servicio (RaaS), ha llevado a cabo más de 1.400 ataques a víctimas en los Estados Unidos y en todo el mundo, incluidos Asia, Europa y África.
No obstante, la pandilla experimentó un revés significativo esta primavera cuando la multinacional Operación Cronos, dirigida por el FBI y la Interpol, pirateó la infraestructura de red del grupo, provocando a la pandilla con un aviso de incautación publicado en la página de inicio del sitio de filtración LockBit.
Incluso después de que el FBI expusiera públicamente a su cabecilla ruso, LockbitSupp, con su imagen y otra información personal, incluido el coche que conduce, LockBit siguió funcionando como siempre, abriendo un nuevo sitio de filtraciones y atacando a varios hospitales de EE. UU. en cuestión de días.
La notoria variante de ransomware de los actores de amenazas, LockBit 3.0, también conocida como LockBit Black, se encuentra ahora en su tercera encarnación y se considera la más evasiva de todas las cepas anteriores, según una evaluación del Departamento de Justicia de EE. UU.
The Boeing Company, Allen & Overy y el exploit masivo de 2023 de la vulnerabilidad de día cero de Citrix han sido blanco de ataques importantes en el último año. Recientemente, la organización se jactó de los ataques a Deutsche Telekom y al hospital de Cannes en Francia.
A principios de este mes, el FBI informó que había encontrado 7.000 claves de descifrado, destinadas a ayudar a las víctimas a recuperar sus datos robados.
Federal Reserve’s Secrets Exposed By Ransomware? Is LockBit Bluffing?