El grupo de ransomware LockBit concedió una entrevista a la agencia de noticias de ciberseguridad rusa, Russian Osint. Más de 50 minutos de charlas abrieron los ojos a diferentes aspectos de la actividad de LockBit, así como al secreto de su larga vida en el mercado del ransomware.
¿Quién es LockBit?
LockBit es la banda de ransomware que apareció en 2019. Es famosa por su carga útil de ransomware bien diseñada, que es entregada por un equipo de piratas informáticos experimentados. Este grupo es famoso no solo por la alta eficiencia de sus ataques, sino también por su honestidad: cumplen todas las promesas que hacen para el descifrado de archivos y la filtración de datos. Tienen sus propias reglas éticas: evite atacar a las organizaciones gubernamentales y de atención médica y siempre ayude con la recuperación de datos después de que se pague el rescate. Eso no los convierte en una virtud, y no disminuye el posible período de encarcelamiento de sus desarrolladores, me apresuro a decir.
Entrevista LockBit: lo que se descubre
Esta entrevista es interesante para todos los que no pasan mucho tiempo leyendo los informes de ciberseguridad y revisando los foros de Darknet1 en busca de publicaciones que puedan arrojar luz sobre este grupo de ransomware. Las publicaciones del foro y la ingeniería inversa de la carga útil exacta del malware conocieron una cantidad significativa de hechos que contó uno de los desarrolladores en esta entrevista. Sin embargo, también expresó algunos datos interesantes sobre las tendencias comunes en ciberseguridad, así como sobre los principios de su grupo.
El nivel general de ciberseguridad se mantiene sin cambios
Como dice el entrevistado, las empresas prestan poca o ninguna atención a los posibles peligros de ransomware2. Siguen ignorando los aspectos simples de seguridad, como usar las conexiones seguras para RDP o VPN, omitiendo las ofertas para actualizar las soluciones de programas explotables de Microsoft, Adobe, VMware, etc. Esta imprudencia no puede pasar desapercibida para los estafadores engañosos, que pueden obtener ganancias fácilmente con esas empresas.
¿Qué piensan estos delincuentes sobre otros grupos de ransomware?
LockBit no quiere comentar sobre sus relaciones con otros grupos, así como tampoco quiere dar su opinión al respecto. Lo único que quieren decir es que desprecian a los grupos que ignoran la regla para evitar atacar los hospitales y universidades, además de tomar el dinero del rescate y no ceder la clave de descifrado.
¿Qué hay de nuevo en LockBit 2.0?
LockBit 2.0 se lanzó en agosto de 2021 y no se usó ampliamente a principios de septiembre, cuando se escribió este artículo. Como dice el desarrollador, la nueva versión de su ransomware contiene las siguientes actualizaciones:
- Cifrado más rápido. LockBit ya es conocido por el cifrado extremadamente rápido, pero la versión 2.0 lo hace aún más rápido.
- Otra forma de almacenar los datos corporativos robados. La primera versión contenía la carga útil del virus del ladrón que no pudo guardar los datos que encontró en la red infectada en algún lugar alejado de los almacenamientos en la nube. Eso causó muchas pérdidas de datos por parte de los ciberdelincuentes: cuando las empresas atacadas informan a los almacenamientos en la nube que sus datos confidenciales fueron robados y guardados en sus servidores, los servicios de almacenamiento generalmente prohíben la cuenta de los delincuentes y la borran. LockBit 2.0 contiene el módulo ladrón que puede descargar los datos directamente al servidor de comandos.
¿Por qué los grupos de casilleros cambian sus nombres y continuará esta tendencia?
“No hay ninguna razón para que los grupos de ransomware cambien su nombre, si son honestos y no tienen situaciones en las que se paga el rescate, pero no se envía la clave de descifrado”.
El entrevistado también hizo un acento especial en los grupos de ransomware Avaddon, REvil y DarkSide, que tenían los incidentes antes mencionados. El grupo LockBit conoce el precio de la imagen, por lo que intentan hacer todo lo posible para mantenerse alejados de la mala fama. Y sí, no creen que cifrar los datos de las empresas sea algo que ya les dé mala reputación (y toneladas de acciones legales).
¿Cómo evitar ser atacado por LockBit?
- Contrate un Equipo Rojo de tiempo completo (el grupo de pentesters que examinará su red en busca de posibles vulnerabilidades).
- Actualice su software con la mayor frecuencia posible. Esto le ayudará a prevenir las inyecciones más estúpidas, a través de las vulnerabilidades de los programas.
- Instruya a su personal sobre las reglas de ciberseguridad. Estas reglas deben ser algo así como lavarse las manos.
- Utilice el software antivirus adecuado. La defensa sin muros no es posible.
Cuando estés en un rincón ciego, seguido por tu enemigo, ¿lucharás por la vida o te retirarás?
Considere leer: Criterios que utilizan las bandas de ransomware para elegir su objetivo.
User Review
( votes)References
- Darknet: https://en.wikipedia.org/wiki/Darknet
- Ransomware: https://gridinsoft.com/ransomware