Un rayo de esperanza para las víctimas del grupo de ransomware Lockbit. "Gracias a los continuos esfuerzos contra Lockbit“Ahora tenemos más de 7.000 claves de descifrado y podemos ayudar a las víctimas a recuperar sus datos y volver a conectarse”, dijo. Bryan Vorndran, subdirector de la división de ciberseguridad del FBIDurante un discurso en la Conferencia de Boston sobre Ciberseguridad de 2024, agregó: “Nos estamos comunicando con las víctimas conocidas de LockBit y alentamos a cualquier persona sospechosa de ser víctima a que visite nuestro sitio web del Centro de denuncias de delitos en ic3.gov”.

Se trata de un anuncio importante para los CISO, aunque será necesario verificar cuántas claves siguen funcionando. Brian Levine, un directivo de Ernst & Young que supervisó las operaciones cibernéticas del FBI cuando trabajaba en el Departamento de Justicia, comenta a nuestros colegas de IDG que "existe una buena posibilidad de que muchas de las claves obtenidas sigan siendo efectivas y puedan desbloquear los datos de las empresas víctimas que optaron por no pagar el rescate o que recibieron claves que no funcionaron o funcionaron de forma incompleta".

Diversos medios de asociación entre clave y víctima

Para hacer coincidir la clave con una víctima, las autoridades pueden identificarla de varias maneras, dijo Levine. A veces, el nombre de una víctima está en una base de datos SQL de LockBit que la vincula a claves específicas. Pero eso no sucede a menudo, porque "las notas pueden ser demasiado crípticas" o el atacante real es solo un afiliado de LockBit. La forma más probable en que el FBI hará coincidir claves específicas con víctimas específicas, suponiendo que se comuniquen con las autoridades, es que "el FBI genere un script que ejecute las más de 7000 claves" contra los archivos aún bloqueados del objetivo, dijo Levine. También es posible que LockBit reutilice claves.

Para el ex miembro del Departamento de Justicia de Estados Unidos, la principal virtud del anuncio del FBI es incitar a las empresas afectadas a ponerse en contacto con la agencia. En caso de ciberataque, las víctimas suelen no saber a quién contactar dentro de las autoridades judiciales.