Revista CiberConcienciaArtículosGuíasConsejosPara todos

Alapsi
Alerta LockBit: Un Grito de Advertencia en la Batalla Contra el Ransomware en la Era Digital

Alerta LockBit: Un Grito de Advertencia en la Batalla Contra el Ransomware en la Era Digital

Cibercriminales retan a las autoridades de 10 países

En la era digital, la ciberseguridad es más importante que nunca. Como usuarios, confiamos en las empresas para que protejan nuestra información personal. Pero, ¿qué sucede cuando esas empresas son atacadas por ciberdelincuentes? Un ejemplo reciente y preocupante es el del grupo de ransomware LockBit.

¿Qué es LockBit?

LockBit es un grupo de ciberdelincuentes conocido por sus actividades de ransomware. El ransomware es un tipo de malware que cifra los archivos de un usuario y luego exige un rescate para desbloquearlos. LockBit es particularmente notorio por sus ataques a gran escala y por exigir grandes sumas de dinero a sus víctimas.

Según el informe "Ataques 2023", LockBit fue muy activo en 2023, realizando miles de ataques y extorsionando millones de dólares a sus víctimas. Entre las víctimas de LockBit se encontraban DP World, un operador portuario australiano que tuvo que cerrar rutas marítimas; Boeing, una de las empresas aeroespaciales más grandes del mundo, que vio expuestos sus documentos financieros confidenciales; e ICBC, uno de los bancos más grandes del mundo, que sufrió una intrusión que provocó conmociones en todo el mundo financiero.

¿Qué es el Ransomware?

El ransomware es un tipo de malware que cifra los archivos de un usuario y luego exige un rescate para desbloquearlos. Los grupos de ransomware como LockBit suelen exigir el rescate en criptomonedas, lo que hace que las transacciones sean difíciles de rastrear y los hace efectivamente anónimos.

Además de LockBit, hay muchos otros grupos de ransomware activos en la actualidad. Algunos de los más notorios incluyen REvil, Maze y DoppelPaymer. Cada uno de estos grupos tiene su propio modus operandi, pero todos comparten el mismo objetivo: extorsionar dinero de sus víctimas.

Cabe mencionar que LockBit es un ejemplo de Ransomware as a Service (RaaS). Este es un modelo de negocio en el que los desarrolladores de ransomware licencian su ransomware a los afiliados o socios, quienes luego llevan a cabo los ataques. Los desarrolladores y los afiliados comparten los beneficios de cualquier rescate pagado. Este modelo permite a los ciberdelincuentes llevar a cabo ataques de ransomware sin tener que desarrollar su propio ransomware, lo que ha contribuido a la proliferación de estos ataques.

LockBit es conocido por ser innovador y estar dispuesto a probar cosas nuevas. Por ejemplo, organizaron un concurso público para encontrar nuevas ideas para mejorar su ransomware y desarrollaron una interfaz simple que permitía a un cibercriminal elegir varias opciones antes de compilar el binario final para el ataque.

El grupo ha publicado varias versiones de su ransomware, desde la v1 inicial hasta LockBit 3.0. En octubre de 2021, presentaron LockBit Linux para dar cabida a ataques a sistemas Linux y VMWare ESXi. En enero de 2023 surgió una versión intermedia que incorporaba código heredado del extinto ransomware Conti.

Sin embargo, el grupo ha experimentado problemas recientemente, tanto internos como externos, que han amenazado su posición y reputación. En septiembre de 2022, un desarrollador asociado con el grupo filtró el creador del ransomware, lo que tuvo un impacto significativo en la escena cibercriminal al reducir el umbral para que los delincuentes iniciaran su propia empresa RaaS a través de clones de la operación LockBit.

Además, se está desarrollando una versión del ransomware conocida como LockBit-NG-Dev, que podría ser una próxima versión que el grupo podría considerar como una verdadera versión 4.0 una vez completada.

En su más reciente desafío, Lockbit dice contar con información y documentos del caso Trump del condado de Fulton y amenazaron con liberarlos. Sin embargo, aún no se sabe si se pagó dicho rescate.

La Operación Conjunta "Cronos" y el Resurgimiento de LockBit

Recientemente, el Gobierno de los Estados Unidos de Norteamérica ofreció una recompensa de 15 millones de dólares por quien brinde información sobre el grupo de ciberdelincuentes Lockbit. Mientras que en una operación conjunta denominada "Cronos" de 10 países logró desmantelar temporalmente la infraestructura de LockBit. El pasado 20 de febrero NCA de Reino Unido ya daba cuenta de ello. En esta operación participaron Alemania, Australia, Reino Unido, Estados Unidos de Norteamérica, Finlandia, Francia, Japón, Suiza, entre otros.

Sin embargo, en un impresionante acto de resiliencia, el grupo logró volver a estar en línea en tan solo cuatro días. No solo eso, sino que también desafió a las autoridades filtrando información que había obtenido del FBI. Y en un comunicado del grupo afirma: "¿Por qué tardé 4 días en recuperarme? Porque tuve que editar el código fuente para la última versión de PHP, ya que había incompatibilidad."

El grupo también expuso sus planes para mejorar la seguridad en el futuro, ofreciendo incluso una recompensa a cualquiera que pudiera hackear su sitio principal. Los líderes también citaron “negligencia personal e irresponsabilidad” como la razón del incumplimiento de la ley, alegando que cinco años de éxito financiero habían hecho que se volvieran un poco descuidados.

Ahora mismo, en lo que debe de ser una nueva infraestructura ya se encuentran activos. Ahora han integrado relojes con una cuenta atrás para cada caso en donde se muestra el tiempo restante para publicar la información obtenida en caso de no pagarse el rescate. Esta información se encuentra en la red Tor, y se puede apreciar en la siguiente dirección: http://lockbit3753ekiocyo5epmpy6klmejchjtzddoekjlnt6mu3qh4de2id.onion/

Este incidente es un recordatorio de que, aunque las autoridades están trabajando duro para combatir el cibercrimen, los ciberdelincuentes son resistentes y están constantemente buscando nuevas formas de evadir la detección y el castigo.

Éste artículo "LockBit y el Resurgimiento del Ransomware: Una Advertencia para la Era Digital" ofrece varias conclusiones importantes sobre la ciberseguridad y la resiliencia de los ciberdelincuentes:

  1. La ciberseguridad es esencial en la era digital: Con la creciente dependencia de la tecnología en todos los aspectos de nuestras vidas, la ciberseguridad se ha vuelto más importante que nunca. Los ciberdelincuentes, como el grupo LockBit, están constantemente buscando y explotando vulnerabilidades en nuestros sistemas digitales, lo que puede tener graves consecuencias para las personas, las empresas y las naciones.

  2. Los ciberdelincuentes son altamente resilientes: A pesar de los esfuerzos de las autoridades para desmantelar sus operaciones, los ciberdelincuentes a menudo logran recuperarse y continuar con sus actividades delictivas. En el caso de LockBit, el grupo logró volver a estar en línea en tan solo cuatro días después de que su infraestructura fuera desmantelada temporalmente por una operación conjunta de 10 países.

  3. Las empresas y los gobiernos pueden aprender de la resiliencia de los ciberdelincuentes: La capacidad de los ciberdelincuentes para adaptarse y recuperarse rápidamente de los contratiempos puede ofrecer lecciones valiosas para las empresas y los gobiernos. Por ejemplo, las organizaciones pueden aprender a ser más resilientes implementando estrategias de ciberseguridad robustas y adaptativas, preparándose para posibles ataques y teniendo planes de recuperación en caso de que se produzcan violaciones de seguridad.

  4. La necesidad de una cultura de ciberseguridad: Destacamos la importancia de crear una cultura de ciberseguridad en la que todos los usuarios estén conscientes de las amenazas que enfrentan y tomen medidas para proteger su información. Esto implica educar a las personas sobre las mejores prácticas de ciberseguridad y fomentar comportamientos seguros en línea.

Recomendaciones

Una Advertencia para la Era Digital", aquí hay algunas recomendaciones para mejorar la ciberseguridad y protegerse contra los ataques de ransomware:

  1. Educación y conciencia sobre ciberseguridad: Es esencial que tanto individuos como organizaciones estén conscientes de las amenazas de ciberseguridad y comprendan cómo protegerse. Esto puede incluir la formación en seguridad informática, la comprensión de las tácticas comunes de los ciberdelincuentes y la adopción de comportamientos seguros en línea.

  2. Implementar medidas de seguridad robustas: Las organizaciones deben implementar medidas de seguridad robustas, como firewalls, software antivirus y sistemas de detección de intrusiones. También es importante mantener todos los sistemas y software actualizados para protegerse contra las últimas amenazas.

  3. Crear un plan de respuesta a incidentes: Las organizaciones deben tener un plan de respuesta a incidentes en caso de un ataque de ciberseguridad. Esto puede incluir la identificación de roles y responsabilidades, la creación de un equipo de respuesta a incidentes y la planificación de la comunicación durante y después de un incidente.

  4. Realizar copias de seguridad regulares: Una de las formas más eficaces de protección ante ransomware. Establecer una política de respaldos, es la mejor medida de prevención y protección para estos casos. En lo personal y como organizaciones, es muy importante contar con respaldo de los activos digitales.

Conclusión

El resurgimiento de LockBit es una advertencia para todos nosotros. En la era digital, la ciberseguridad es más importante que nunca. Como usuarios, debemos estar conscientes de las amenazas que enfrentamos y tomar medidas para proteger nuestra información. Como sociedad, debemos trabajar juntos para combatir el cibercrimen y crear un entorno digital seguro para todos.