Los actores de amenazas detrás del esquema LockBit ransomware-as-a-service (RaaS) han extorsionado $ 91 millones luego de cientos de ataques contra numerosas organizaciones estadounidenses desde 2020.
Eso es según un boletín conjunto publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), la Oficina Federal de Investigaciones (FBI), el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) y otras autoridades asociadas de Australia, Canadá, Francia, Alemania, Nueva Zelanda y el Reino Unido
«LockBit ransomware-as-a-service (RaaS) atrae a los afiliados a usar LockBit para realizar ataques de ransomware, lo que da como resultado una gran red de actores de amenazas desconectados que realizan ataques muy variados», dijeron las agencias. dicho.
LockBit, que apareció por primera vez en escena a fines de 2019, ha seguido siendo disruptivo y prolífico, apuntando a hasta 76 víctimas solo en mayo de 2023, según estadísticas compartidas por Malwarebytes la semana pasada. El cártel vinculado a Rusia se ha atribuido la responsabilidad de al menos 1.653 ataques de ransomware hasta la fecha.
La operación de ciberdelincuencia ha atacado una amplia gama de sectores de infraestructura crítica, incluidos los servicios financieros, la alimentación y la agricultura, la educación, la energía, los servicios gubernamentales y de emergencia, la atención médica, la fabricación y el transporte.
LockBit ha recibido tres actualizaciones sustanciales hasta el momento: LockBit Red (junio de 2021), LockBit Black (marzo de 2022) y LockBit Green (enero de 2023), el último de cual se basa en el código fuente filtrado de la pandilla Conti ahora disuelta.
Desde entonces, la variedad de ransomware se ha adaptado para apuntar Linux, VMware ESXi, y sistemas Apple macOS, transformándolo en una amenaza en constante evolución. La operación RaaS también se destaca por pagar a las personas para que se tatúen su insignia e instituir el primer programa de recompensas por errores.
El modelo de negocio implica que los desarrolladores principales alquilen su warez a los afiliados que realizan la extorsión y la implementación real del ransomware. Pero en un giro inesperado, el grupo permite que los afiliados reciban pagos de rescate antes de enviar una tajada al equipo principal.
Las cadenas de ataque que involucran a LockBit han aprovechado fallas recientemente reveladas en los servidores Fortra GoAnywhere Managed File Transfer (MFT) y PaperCut MF/NG, así como otros errores conocidos en Apache Log4j2, F5 BIG-IP y BIG-IQ, y dispositivos Fortinet para obtener acceso inicial. .
Los afiliados también utilizan más de tres docenas de herramientas gratuitas y de código abierto que permiten el reconocimiento de la red, el acceso remoto y la tunelización, el volcado de credenciales y la exfiltración de archivos. Se ha descubierto que las intrusiones abusan aún más del software legítimo del equipo rojo, como Metasploit y Cobalt Strike.
«LockBit ha tenido éxito a través de su innovación y desarrollo continuo del panel administrativo del grupo (es decir, una interfaz simplificada de apuntar y hacer clic que hace que la implementación de ransomware sea accesible para aquellos con menores grados de habilidad técnica), funciones de soporte para afiliados y revisión constante de TTP», dijeron las agencias.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
El desarrollo se produce cuando CISA emitió un Directiva Operativa Vinculante 23-02instruyendo a las agencias federales para proteger los dispositivos de red como firewalls, enrutadores y conmutadores que están expuestos a la Internet pública dentro de los 14 días posteriores al descubrimiento y tomar medidas para minimizar la superficie de ataque.
«Con demasiada frecuencia, los actores de amenazas pueden usar dispositivos de red para obtener acceso sin restricciones a las redes organizacionales, lo que a su vez conduce a un compromiso a gran escala», dijo la directora de CISA, Jen Easterly, dicho. «Requerir controles y mitigaciones apropiados […] es un paso importante para reducir el riesgo para la empresa civil federal».
Los avisos también siguen a un nuevo aviso destacando amenazas a las implementaciones de Baseboard Management Controller (BMC) que potencialmente podrían permitir a los actores de amenazas establecer una «cabeza de playa con potencial de ejecución previa al arranque».
«Las credenciales reforzadas, las actualizaciones de firmware y las opciones de segmentación de la red se pasan por alto con frecuencia, lo que lleva a un BMC vulnerable», CISA y la Agencia de Seguridad Nacional de EE. UU. (NSA) anotado en una alerta conjunta.
«Además, un actor malicioso podría deshabilitar soluciones de seguridad como el módulo de plataforma confiable (TPM) o el arranque seguro UEFI, manipular datos en cualquier medio de almacenamiento adjunto o propagar implantes o instrucciones disruptivas a través de una infraestructura de red».