La Oficina Federal de Investigaciones (FBI) de EE. UU. ha revelado que posee más de 7000 claves de descifrado asociadas con la operación de ransomware LockBit para ayudar a las víctimas a recuperar sus datos sin costo alguno.
“Nos estamos acercando a las víctimas conocidas de LockBit y animando a cualquiera que sospeche que fue una víctima a visitar nuestro Centro de Denuncias de Delitos en Internet en ic3.gov”, dijo el subdirector de la División Cibernética del FBI, Bryan Vorndran. dicho en un discurso de apertura en la Conferencia de Boston sobre Seguridad Cibernética (BCCS) de 2024.
LockBit, que alguna vez fue una prolífica banda de ransomware, ha sido vinculada a más de 2.400 ataques en todo el mundo, con no menos de 1.800 entidades impactadas en los EE. UU. A principios de febrero, una operación internacional de aplicación de la ley denominada Cronos dirigida por la Agencia Nacional contra el Crimen del Reino Unido (NCA) desmanteló su infraestructura en línea.
El mes pasado, un ciudadano ruso de 31 años llamado Dmitry Yuryevich Khoroshev fue descubierto por las autoridades como administrador y desarrollador del grupo, una afirmación que LockBitSupp ha negado desde entonces.
“Mantiene la imagen de un hacker oscuro, utilizando alias en línea como ‘Putinkrab’, ‘Nerowolfe’ y ‘LockBitsupp'”, Vorndran. dicho. “Pero, en realidad, es un criminal, más atrapado en la burocracia de la gestión de su empresa que en cualquier actividad encubierta”.
También se alega que Khoroshev nombró a otros operadores de ransomware para que las autoridades pudieran “ser suaves con él”. A pesar de estas acciones, LockBit ha seguido activo bajo una nueva infraestructura, aunque no opera en ningún lugar a sus niveles anteriores.
Estadísticas compartidas por Malwarebytes espectáculo que la familia de ransomware se ha relacionado con 28 ataques confirmados en el mes de abril de 2024, lo que la sitúa detrás de Play, Hunters International y Black Basta.
Vorndran también enfatizó que las empresas que optan por pagar para evitar la filtración de datos no tienen garantía de que los atacantes realmente eliminen la información, y agregó que “incluso si los delincuentes les devuelven los datos, deben asumir que algún día podrán ser divulgados”. o puede que algún día te vuelvan a extorsionar por los mismos datos”.
De acuerdo con la Informe de tendencias de Veeam Ransomware 2024que se basa en una encuesta de 1200 profesionales de la seguridad, las organizaciones que experimentan un ataque de ransomware pueden recuperar, en promedio, sólo el 57% de los datos comprometidos, dejándolas vulnerables a “una pérdida sustancial de datos y un impacto comercial negativo”.
El desarrollo coincide con la aparición de nuevos actores como SenSayQ y EfectivoRansomware (también conocido como CashCrypt), ya que las familias de ransomware existentes como TargetCompany (también conocido como Mallox y Water Gatpanapun) están refinando constantemente su oficio aprovechando una nueva variante de Linux para apuntar a los sistemas VMWare ESXi.
Los ataques aprovechan los servidores vulnerables de Microsoft SQL para obtener acceso inicial, una técnica adoptado por el grupo desde su llegada en junio de 2021. También determina si un sistema objetivo se está ejecutando en un entorno VMWare ESXi y tiene derechos administrativos antes de continuar con la rutina maliciosa.
“Esta variante utiliza un script de shell para la entrega y ejecución de la carga útil”, afirman los investigadores de Trend Micro Darrel Tristan Virtusio, Nathaniel Morales y Cj Arsley Mateo. dicho. “El script de shell también filtra la información de la víctima a dos servidores diferentes para que los actores del ransomware tengan una copia de seguridad de la información”.
La compañía de ciberseguridad atribuyó los ataques que implementaron la nueva variante Linux del ransomware TargetCompany a un afiliado llamado Vampire, que también fue revelado por Sekoia el mes pasado.