El grupo tras el ransomware LockBit refuerza sus defensas y amplía sus técnicas de extorsión

Los incidentes relacionados con el ransomware no han dejado de producirse durante los últimos meses. Y es que por mucho que la mayoría de nosotros nos hayamos tomado algunos días de vacaciones durante el verano, los delincuentes no han cesado su actividad, tal y como demuestran los numerosos incidentes de seguridad detectados durante los últimos meses.

El ransomware LockBit va en cabeza

De entre todos los tipos de malware existentes en la actualidad, el ransomware es, muy probablemente, el más temido por las empresas. No solo les preocupa que los delincuentes cifren sus archivos esenciales para poder seguir trabajando con normalidad, sino también que los filtren, por el daño reputacional que eso les puede causar y las elevadas multas que pueden tener que pagar dependiendo de la legislación vigente.

De entre todos los grupos de ransomware y sus afiliados, destaca uno que ha estado especialmente activo durante los últimos meses. Este no es otro que LockBit, quien ha conseguido el mayor número de víctimas en los últimos meses comparado con otras familias de ransomware que siguen el mismo esquema de funcionamiento.

Grupos de ransomware más activos durante los últimos meses – Fuente: Darkfeed

Este número es tan solo indicativo, y la realidad es que pueden haber muchas otras víctimas que hayan cedido rápidamente al chantaje de los delincuentes y no aparezcan en los listados que estos grupos de delincuentes preparan en sus sitios webs accesibles a través de la red Tor. Además, LockBit es uno de los ransomware que más quebraderos de cabeza está produciendo también a empresas españolas, pues ya es una de las familias a las que más organizaciones de nuestro país ha afectado en lo que llevamos de año.

Las mafias del ransomware también sufren ataques

A pesar de ser uno de los protagonistas indiscutibles del ransomware actual, incluso grupos de delincuentes profesionalizados como los que componen el grupo LockBit también pueden ser víctimas de ciberataques. Esto quedó demostrado hace unos días cuando los sitios en la red Tor usados para publicar información de sus víctimas quedaron inaccesibles a consecuencia de un ataque de denegación de servicio distribuido (DDoS).

Aparentemente, este incidente estaría relacionado con el ciberataque a la empresa Entrust y la revelación de información confidencial robada, y tendría como principal finalidad impedir el acceso precisamente a esta información tras empezar a publicarse en el blog de filtraciones de LockBit. En el momento de escribir estas líneas, dicho blog se encuentra activo, aunque el acceso a la información filtrada de Entrust es intermitente.

En reacción a este ataque de denegación de servicio de su blog de filtraciones, el grupo LockBit no solo habría mejorado sus defensas contra ataques DDoS, sino que estaría pensando seriamente incluir precisamente estos ataques como método de extorsión para conseguir que sus víctimas cedan al chantaje.

Para evitar ser nuevamente víctimas de uno de estos ataques, los delincuentes ya habrían implementado el uso de enlaces únicos incluidos en las notas de rescate que se dejan a las víctimas y que normalmente se muestran en el escritorio y carpetas donde se han cifrado ficheros.

Además, los delincuentes han aumentado el número de servidores duplicados y espejo de los existentes, incluso pudiendo acceder a ellos a través de Internet, sin necesidad de utilizar la red Tor.

Todas estas medidas les permiten seguir extorsionando a sus víctimas con la publicación de la información confidencial robada, incluso aunque alguno de los servidores donde la almacenan y publican caiga temporal o definitivamente.

Conclusión

Conforme pasa el tiempo vemos como los ciberdelincuentes se profesionalizan cada vez más, y a pesar de que las tácticas, técnicas y procedimientos que utilizan para comprometer las redes y sistemas de sus víctimas son sobradamente conocidas en la mayoría de ocasiones, aún son muchas las empresas y organizaciones que se pueden ver afectadas si no implementan políticas y soluciones de seguridad que puedan mitigar e incluso detener uno de estos ciberataques.

Josep Albors

Consejos para una vuelta al cole ‘cibersegura’