El uso de LockBit como ransomware como servicio está creciendo rápidamente gracias a las actualizaciones del malware. Pero su auge también está muy relacionado con el cierre de otros grupos de ransomware como el llevado recientemente con Conti.
LockBit es una de las operaciones de ransomware como servicio (RaaS) más destacadas que se ha dirigido a organizaciones en los últimos años. Desde su lanzamiento en 2019, LockBit ha evolucionado constantemente, experimentando un crecimiento sin precedentes impulsado recientemente por la disolución de otras bandas de ransomware.
Los creadores de LockBit venden el acceso al programa de ransomware a ciberdelincuentes que acceden a las redes y lo implementan en los sistemas. Por ello se lleva hasta el 75% del dinero que pagan las víctimas en los rescates para recuperar sus datos o sistemas.
Como la mayoría de grupos de RaaS, LockBit utiliza tácticas de doble extorsión en las que sus afiliados también consiguen datos de las víctimas y amenazan con publicarlos.
Según un informe de la empresa de respuesta a incidentes de ransomware Coveware, LockBit representó el 15% de los ataques de ransomware durante el primer trimestre de 2022. Esta cifra solo fue superada por Conti con el 16%.
En un informe más reciente, la firma NCC Group apuntó que LockBit fue responsable del 40% de los ataques de ransomware que la compañía vio en mayo, seguido de Conti.
Las bazas de LockBit
Si bien la cantidad de incidentes de ransomware ha disminuido en los últimos meses, es probable que aumente el porcentaje que representa LockBit.
Esto se debe, en parte, porque se cree que la operación que ha desarticulado Conti ha hecho que el grupo se haya podido dividir en otros más pequeños.
Además, LockBit está tratando de atraer a más afiliados. afirmando ofrecer mejores condiciones que sus competidores.
No hay que olvidar que LockBit comenzó a ganar más tracción en la segunda mitad de 2021 con el lanzamiento de su versión 2.0 y después del cierre de las operaciones de otros grupos de ransomware.
Según investigadores de Palo Alto Networks, esta variante tuvo el mayor impacto e implementación de todas las infracciones de ransomware durante el primer trimestre de 2022 con más de 850 víctimas.
Además, LockBit 2.0 tiene un cifrado más rápido que su versión anterior porque encripta solo los primeros 4 KB de cada archivo, lo que es suficiente para que sean ilegibles e inutilizables, Esto también permite que el ataque se complete muy rápido antes de que la respuesta ante incidentes reaccione aislándolo de la red.
LockBit, una amenaza imparable (por ahora)
Los vectores de acceso que utilizan son variados: desde correos electrónicos de phishing selectivo con archivos adjuntos maliciosos hasta la explotación de vulnerabilidades en aplicaciones y el uso de credenciales VPN y RDP robadas.
Casi la mitad de las víctimas de LockBit son de Estados Unidos, seguidas de Italia, Alemania, Canadá, Francia y el Reino Unido. El enfoque en las organizaciones de América del Norte y Europa se debe a una mayor existencia de ciberseguros, así como a mayores ingresos de las organizaciones de las que pueden sacar rédito.
Por su parte, los sectores verticales de la industria más afectados han sido los servicios profesionales y legales, la construcción, gobiernos, retailers, el sector de la alta tecnología y la manufactura.
Pero LockBit no se detiene y, el pasado mes de junio, sus creadores anunciaron la versión 3.0 después de haberlo tenido en pruebas beta durante dos meses. El grupo también lanzó un programa de recompensas por errores que ofrece entre 1.000 y 1 millón de dólares por vulnerabilidades.
Si bien los cambios técnicos en LockBit 3.0 sugieren que la criptomoneda Zcash se aceptará para pagos de rescate junto con Bitcoin y Monero, la incorporación de Zcash podría ser un intento de hacer que los pagos sean más difíciles de rastrear.
