Hoy en día, el ransomware LockBit es la organización de ciberdelincuencia más activa y exitosa del mundo. Atribuido a un actor de amenazas ruso, LockBit salió de las sombras del grupo de ransomware Conti, que se disolvió a principios de 2022.
El ransomware LockBit se descubrió por primera vez en septiembre de 2019 y anteriormente se conocía como ransomware ABCD debido a la extensión «.abcd virus» que se observó por primera vez. LockBit funciona como un modelo de ransomware como servicio (RaaS). En resumen, esto significa que los afiliados hacen un depósito para usar la herramienta y luego dividen el pago del rescate con el grupo LockBit. Se ha informado que algunos afiliados están recibiendo una participación de hasta el 75%. Los operadores de LockBit han publicado anuncios para su programa de afiliados en foros criminales en idioma ruso que indican que no operarán en Rusia ni en ningún país de la CEI, ni trabajarán con desarrolladores de habla inglesa a menos que un «garante» de habla rusa responda por ellos.
Los vectores de ataque iniciales de LockBit incluyen ingeniería social, como phishing, phishing selectivo y compromiso de correo electrónico comercial (BEC), explotación de aplicaciones públicas, contratación de intermediarios de acceso inicial (IAB) y uso de credenciales robadas para acceder a cuentas válidas, como protocolo de escritorio remoto (RDP), así como ataques de craqueo de fuerza bruta.
Durante el año pasado Seminario web de pronóstico de amenazas globalesalojado por SecurityHQ, identificamos a LockBit como una amenaza importante y los destacamos como un actor de amenazas al que debemos prestar mucha atención durante 2022.
Objetivos de LockBit
LockBit generalmente ha centrado los ataques en entidades gubernamentales y empresas en una variedad de sectores, como atención médica, servicios financieros y bienes y servicios industriales. Se ha observado que el ransomware se dirige a países de todo el mundo, incluidos EE. UU., China, India, Indonesia, Ucrania, Francia, Reino Unido y Alemania.
Otra característica interesante de LockBit es que está programado de manera que no puede usarse en ataques contra Rusia o países de la CEI (Comunidad de Estados Independientes). Es probable que esta sea una medida de precaución tomada por el grupo para evitar cualquier posible reacción violenta del gobierno ruso.
El siguiente mapa muestra las ubicaciones objetivo de LockBit.
 |
| Figura 1: Análisis de SecurityHQ de las víctimas de LockBit por geografía |
Un año ocupado para LockBit
A través del análisis de los datos del sitio de fuga, pudimos obtener una imagen real de cuántos ataques exitosos había realizado LockBit. En 2022, el grupo publicó más ataques exitosos que cualquier otro grupo de ransomware. Hemos mapeado la actividad de LockBit a lo largo del año frente a otros grupos de ransomware conocidos. Puede ver el declive de Conti cuando el grupo comenzó a cerrar operaciones. Sin embargo, ahora se informa que los miembros del otrora prolífico grupo de ransomware Conti ahora están operando dentro de los grupos de ransomware BlackBasta, BlackByte y Karakurt.
El siguiente gráfico muestra qué tan activo estuvo LockBit durante 2022, en comparación con otros grupos de ransomware.
Una de las características únicas de LockBit es su programa de recompensas por errores para sus creadores y compiladores de ransomware. El grupo ofrece una recompensa de $ 1 millón para cualquiera que pueda dox (revelar públicamente las identidades de) sus dueños. Esta es una suma significativa y muestra cuán serio es LockBit para mantener su anonimato.
Recientemente, el grupo ha sido vinculado a un ataque a Royal Mail en el Reino Unido. Sin embargo, LockBit ha negado cualquier participación en el ataque, afirmando que fue realizado por un afiliado. Esto no es poco común para los grupos de ransomware, ya que a menudo utilizan afiliados para llevar a cabo ataques con el fin de distanciarse de las consecuencias.
En general, el grupo de ransomware LockBit es una organización de delitos cibernéticos formidable y sofisticada que representa una amenaza importante para las empresas y organizaciones de todo el mundo. Con un modelo de ransomware como servicio bien establecido, un programa de recompensas por errores y la voluntad de recompensar a quienes revelan sus identidades, LockBit es una fuerza a tener en cuenta en el panorama de amenazas.
¿Qué es RaaS?
Ransomware-as-a-service (RaaS) ha ganado popularidad en los últimos años. RaaS se refiere a un tipo de modelo comercial en el que los operadores de ransomware proporcionan el malware y las herramientas a otras personas o grupos del crimen organizado para llevar a cabo ataques de ransomware, a cambio de una parte del pago del rescate. Esto permite que incluso personas menos capacitadas técnicamente participen en ataques de ransomwareaumentando el número de ataques y dificultando el seguimiento y la detención de los atacantes.
Qué hacer a continuación
Para mejorar su postura de seguridad, se recomienda que las empresas realicen los siguientes pasos:
Garantizar la detección y respuesta gestionadas (MDR) se utiliza para comprender la actividad maliciosa o anómala, analizar, priorizar y responder a las amenazas rápidamente, y proteger sus datos, personas y procesos.
Asegúrese de que los empleados estén entrenado y educado sobre las últimas amenazas de seguridad cibernética, para que sepan cómo detectar un ataque y responder de la manera correcta.
Para escuchar a los expertos de SecurityHQ analizar algunas de las mayores amenazas observadas a lo largo de 2022, analizar las consecuencias de una infracción, con predicciones para 2023 y cómo mitigar las próximas amenazas de seguridad cibernética, descargue la grabación de este seminario web. Pronóstico del panorama global de amenazas para 2023‘, para saber mas.
Nota: Este artículo es de Aaron Hambleton, Director para Medio Oriente y África en SecurityHQ. Con más de 11 años de experiencia en varios sectores como servicios financieros, comercio minorista, seguros, gobierno y telecomunicaciones, Aaron es un GCDA certificado y tiene experiencia en respuesta a incidentes, búsqueda de amenazas, gestión de vulnerabilidades, operaciones de seguridad cibernética, inteligencia de amenazas y consultoría.