En la actualidad, LockBit es la organización de ciberdelincuencia más activa y exitosa del mundo en cuanto a ransomware se refiere, y se le atribuye a un actor de amenazas de origen ruso. Este grupo emergió de las sombras del disuelto grupo Conti a principios de 2022. LockBit, antes conocido como ransomware ABCD, se descubrió por primera vez en septiembre de 2019 y funciona como un modelo de ransomware como servicio (RaaS). Los afiliados pagan por el uso de la herramienta y comparten el pago del rescate con el grupo LockBit, llegando a recibir una participación de hasta el 75%. Los operadores de LockBit han publicado anuncios de su programa de afiliados en foros criminales en idioma ruso y se han negado a trabajar con desarrolladores de habla inglesa a menos que cuenten con un «garante» de habla rusa que responda por ellos. 

LockBit utiliza varios vectores de ataque, incluyendo ingeniería social como phishing y compromiso de correo electrónico empresarial (BEC), explotación de aplicaciones públicas, contratación de agentes de acceso inicial (IAB) y el uso de credenciales robadas para acceder a cuentas válidas. Durante el seminario web Global Threat Forecast del año pasado, organizado por SecurityHQ, se identificó a LockBit como una amenaza significativa y se les destacó como un actor de amenazas al que se debía prestar mucha atención durante 2022.

Objetivos de LockBit

LockBit ha llevado a cabo ataques a organizaciones gubernamentales y empresas en distintos sectores, como la salud, servicios financieros e industriales. Su actividad ha sido detectada en países de todo el mundo, incluyendo Estados Unidos, China, India, Indonesia, Ucrania, Francia, el Reino Unido y Alemania.

Es interesante destacar que el ransomware ha sido programado para evitar su uso en ataques a Rusia o países de la Comunidad de Estados Independientes (CEI), probablemente para evitar represalias por parte del gobierno ruso.

En el siguiente mapa se pueden visualizar las ubicaciones a las que ha dirigido sus ataques el grupo LockBit.

Figura 1 – Análisis de SecurityHQ de las víctimas de LockBit por geografía

Ransomware as-a-service (RaaS)

En los últimos años, ha habido un aumento en la popularidad del «ransomware como servicio» (RaaS). Este modelo de negocio implica que los operadores de ransomware proporcionan el malware y las herramientas necesarias a otros individuos o grupos de delincuencia organizada para llevar a cabo ataques de ransomware. A cambio de su participación, los operadores de ransomware reciben una parte del pago del rescate. Este enfoque ha permitido que incluso las personas con habilidades técnicas limitadas puedan participar en ataques de ransomware, lo que ha llevado a un aumento en el número de ataques. Además, el uso del RaaS también ha dificultado el seguimiento y la detención de los atacantes, lo que ha sido un desafío importante para las fuerzas del orden.

Datos sobre Lockbit

Mediante el análisis de los datos recopilados de sitios especializados en fugas de información, se pudo tener una idea más precisa de la cantidad de ataques exitosos que el grupo de ransomware LockBit había llevado a cabo. De acuerdo con la información recopilada, en el año 2022 LockBit superó a todos los demás grupos de ransomware en cuanto al número de ataques exitosos realizados. Además, se realizó un estudio comparativo de la actividad de LockBit durante todo el año en relación con otros grupos de ransomware conocidos, donde se pudo observar el declive del grupo Conti, el cual comenzó a cerrar operaciones. Sin embargo, se ha reportado que algunos de los miembros de Conti, quienes en su momento fueron muy activos en el mundo del ransomware, ahora operan dentro de otros grupos como BlackBasta, BlackByte y Karakurt.

El siguiente gráfico muestra qué tan activo fue LockBit durante 2022, en comparación con otros grupos de ransomware.

Recientemente, se ha vinculado a LockBit con un ataque a Royal Mail en el Reino Unido, pero el grupo ha negado cualquier participación, afirmando que fue llevado a cabo por un afiliado. Esto es común en los grupos de ransomware, que a menudo utilizan afiliados para llevar a cabo ataques con el fin de distanciarse de las consecuencias.

En general, LockBit es una organización de cibercrimen sofisticada y formidable que representa una amenaza significativa para las empresas y organizaciones de todo el mundo. Con un modelo de ransomware como servicio bien establecido y la voluntad de recompensar a quienes revelan sus identidades, LockBit es una fuerza importante en el panorama de amenazas.

Fuente: https://thehackernews.com/2023/03/the-prolificacy-of-lockbit-ransomware.html