Tradicionalmente el ransomware lo que ha hecho es cifrar los archivos y, posteriormente, pedir un rescate a cambio. De esta forma podían sacar dinero a las víctimas, ya que no podían abrir los documentos. Eso podía no solo afectar a nivel de usuario, sino incluso paralizar a toda una empresa, con lo que eso supone económicamente. Otro de ellos es amenazar con hacer públicos ciertos datos. Esto es especialmente sensible para empresas. Pero hay una tercera vía para extorsionar y es lo que están haciendo desde LockBit. Consiste en lanzar ataques DDoS y hacer que un servidor, como puede ser una página web o plataforma online, deje de funcionar correctamente.

LockBit ahora usa la triple extorsión

De entre todos los tipos de malware existentes en la actualidad, el ransomware es, muy probablemente, el más temido por las empresas. No solo les preocupa que los delincuentes cifren sus archivos esenciales para poder seguir trabajando con normalidad, sino también que los filtren, por el daño reputacional que eso les puede causar y las elevadas multas que pueden tener que pagar dependiendo de la legislación vigente.

De entre todos los grupos de ransomware y sus afiliados, destaca uno que ha estado especialmente activo durante los últimos meses. Este no es otro que LockBit, quien ha conseguido el mayor número de víctimas en los últimos meses comparado con otras familias de ransomware que siguen el mismo esquema de funcionamiento.

Este número es tan solo indicativo, y la realidad es que pueden haber muchas otras víctimas que hayan cedido rápidamente al chantaje de los delincuentes y no aparezcan en los listados que estos grupos de delincuentes preparan en sus sitios webs accesibles a través de la red Tor. Además, LockBit es uno de los ransomware que más quebraderos de cabeza está produciendo también a empresas españolas, pues ya es una de las familias a las que más organizaciones de nuestro país ha afectado en lo que llevamos de año.

LockBit 3.0

Con el objetivo de ayudar a las organizaciones a fortalecer las defensas contra ransomware, un reciente análisis de CyberArk Labs destaca tres características de LockBit 3.0 a tener en cuenta:

·    Es un programa de recompensas de errores único en su clase. En marzo de 2022, los investigadores de Microsoft publicaron un informe sobre errores críticos en LockBit 2.0, lo que contribuyó a la aparición de la versión 3.0. Con un programa de recompensas por errores, el grupo LockBit está trabajando para controlar sus propias vulnerabilidades de malware y evitar que los investigadores reviertan el impacto del ransomware.

·    Cuenta con protecciones anti-análisis. Uno de los cambios más significativos fue la introducción de un código de acceso único para cada muestra de LockBit 3.0. Sin el código de acceso, la muestra no se ejecutará, de tal manera que no es posible analizar el malware de forma dinámica sin una contraseña. Unas medidas contra el análisis que se están convirtiendo en una potencial tendencia, por lo que los investigadores prevén que pronto puedan ser adoptadas por otros grupos de ransomware.

·    Nuevas técnicas de living off the land (LotL) que convierten en armas cualquier herramienta crítica de seguridad. Recientes informes señalan que los actores de LockBit 3.0 obtienen acceso inicial a través de la vulnerabilidad Log4j, empleando nuevas tácticas para armar herramientas de seguridad legítimas que, a menudo, operan fuera de los controles de seguridad instalados y evaden la detección por EDR y las herramientas antivirus tradicionales.

Estas revelaciones enfatizan la necesidad de controles y políticas de detección de amenazas que ayuden a identificar y bloquear actividades sospechosas que pueden estar vinculadas a Log4j u otras vulnerabilidades críticas de inmediato. Por ejemplo, configurar políticas para detectar y bloquear instancias de java.exe que se utilizan como proceso principal para cmd.exe o powershell.exe es una forma de bloquear Log4j potencial, ya que es muy poco probable que java.exe inicie estos procesos en un escenario legítimo. Además, el control continuo de todos los programas iniciados y en ejecución, así como sus privilegios asociados, agregará una fricción significativa para los atacantes si intentan lanzar una carga útil de ransomware, alterar los controles de seguridad y recuperación, o intentar encadenar vulnerabilidades.

Lockbit recibe un ataque DDoS

Hace unos días cuando los sitios en la red Tor usados para publicar información de sus víctimas quedaron inaccesibles a consecuencia de un ataque de denegación de servicio distribuido (DDoS).

Aparentemente, este incidente estaría relacionado con el ciberataque a la empresa Entrust y la revelación de información confidencial robada, y tendría como principal finalidad impedir el acceso precisamente a esta información tras empezar a publicarse en el blog de filtraciones de LockBit. En el momento de escribir estas líneas, dicho blog se encuentra activo, aunque el acceso a la información filtrada de Entrust es intermitente.

En reacción a este ataque de denegación de servicio de su blog de filtraciones, el grupo LockBit no solo habría mejorado sus defensas contra ataques DDoS, sino que estaría pensando seriamente incluir precisamente estos ataques como método de extorsión para conseguir que sus víctimas cedan al chantaje.

Para evitar ser nuevamente víctimas de uno de estos ataques, los delincuentes ya habrían implementado el uso de enlaces únicos incluidos en las notas de rescate que se dejan a las víctimas y que normalmente se muestran en el escritorio y carpetas donde se han cifrado ficheros.

Además, los delincuentes han aumentado el número de servidores duplicados y espejo de los existentes, incluso pudiendo acceder a ellos a través de Internet, sin necesidad de utilizar la red Tor.

Fuentes:

https://blogs.protegerse.com/2022/08/29/el-grupo-tras-el-ransomware-lockbit-refuerza-sus-defensas-y-amplia-sus-tecnicas-de-extorsion/

https://www.cyberark.com/resources/blog/lockbit-3-0-ransomware-learns-from-defenders-launches-bug-bounty-program-begs-hack-me