El ransomware LockBit se ha convertido en la ciberamenaza más activa en todo el mundo. Una prolífica actividad que se ha intensificado a raíz del conflicto en Ucrania, lo que refuerza la hipótesis de que se trata de un actor de amenazas ruso.

LockBit salió a la sombra del grupo de ransomware Conti, que se disolvió a principios de 2022. Aunque LockBit se descubrió por primera vez en septiembre de 2019, anteriormente se conocía como el ransomware ‘ABCD’ debido a utilizaba la extensión ‘abcd.virus’.

LockBit funciona como un ransomware como servicio (RaaS), por lo que los afiliados hacen un depósito para usar la herramienta y luego dividen el pago del rescate con el grupo LockBit. Algunos afiliados están recibiendo una participación de hasta el 75%.

Los operadores de LockBit han publicado anuncios para su programa de afiliados en foros en los que apuntan que no operarán en Rusia ni en ningún país de la CEI (la Comunidad de Estados Independientes), ni trabajarán con desarrolladores de habla inglesa a menos que un «garante» de habla rusa responda por ellos.

Los vectores de ataque de LockBit incluyen ingeniería social, como phishing, phishing selectivo y compromiso de correo electrónico empresarial (BEC), explotación de aplicaciones públicas, y contratación de intermediarios de acceso inicial (IAB). Pero también utiliza credenciales robadas para acceder a cuentas válidas, como protocolo de escritorio remoto (RDP), así como ataques de fuerza bruta.

Los objetivos de LockBit

LockBit ha centrado sus ataques en entidades gubernamentales y empresas en una amplia variedad de sectores, como el sanitario, servicios financieros y bienes y servicios industriales en todo el mundo. No obstante, ha proliferado más en Estados Unidos, China, India, Indonesia, Ucrania, Francia, Reino Unido y Alemania.

Otra característica destacable de LockBit es que está programado de manera que no puede utilizarse en ataques contra Rusia o países de la CEI, lo que puede ser una medida de precaución tomada por el grupo para evitar cualquier posible reacción violenta del gobierno ruso.

Una intensa actividad

En 2022, el grupo llevó a cabo más ciberataques con éxito que cualquier otro grupo de ransomware. A esto también contribuyó el declive de Conti, cuyos miembros operan ahora en otros grupos como BlackBasta, BlackByte y Karakurt.

Así es LockBit ransomware origen objetivos ataques funcionamiento grupos raas como servicio cómo protegerse noticia bit life media
Actividad de LockBit en comparación con otros grupos de ransomware. Fuente: Security HQ

Una de las características únicas de LockBit es su programa de recompensas por errores. El grupo ofrece una recompensa de 1 millón de dólares para cualquiera que pueda revelar públicamente las identidades de sus dueños. Esto muestra lo importante que es para este grupo mantener su anonimato.

Recientemente se ha vinculado al grupo con el ataque que ha sufrido el servicio de correo del Reino Unido, el Royal Mail. Sin embargo, LockBit ha negado cualquier participación en el ataque, afirmando que lo llevó a cabo un afiliado. Esto es algo común en los grupos de ransomware, ya que a menudo utilizan afiliados para llevar a cabo ataques con el fin de no implicarse en las posibles consecuencias.

Esto hace de LockBit una organización de ciberdelitos sofisticada que representa una amenaza importante para las empresas y organizaciones de todo el mundo. Con un modelo de ransomware como servicio bien establecido, un programa de recompensas por errores y la voluntad de recompensar a quienes revelan sus identidades, LockBit es una fuerza a tener en cuenta en el panorama de amenazas.

ransomware bit life ordenador portatil desarrollador malware cibercrimen ciberseguridad seguridad informatica codigo ciberataque hackers hacking codigo consejos malware software malicioso ransomware noticias

Cómo protegerse del RaaS

El modelo de ransomware como servicio (RaaS) prolifera cada vez más entre los grupos que llevan a cabo este tipo de ataques. Y es que, para los ciberdelincuentes se trata de un modelo en el que los operadores de ransomware proporcionan el malware y las herramientas necesarias para llevarlo a cabo a cambio de una parte del pago del rescate.

Esto permite que incluso personas menos capacitadas técnicamente participen en ataques de ransomware, lo que aumenta la cantidad de los que se llevan a cabo y dificulta el seguimiento y la captura de los atacantes.

Para mejorar su postura de seguridad, se recomienda que las empresas tengan en cuenta una serie de cuestiones como el uso de Managed Detection and Response (MDR), lo que ayudará a comprender la actividad maliciosa o anómala, analizar, priorizar y responder a las amenazas con rapidez, y proteger los datos, las personas y procesos.

Asegurarse de que los empleados están capacitados y educados sobre las últimas amenazas de seguridad también será crucial. De esta forma sabrán cómo detectar un ataque y responder de manera correcta.

 

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre