Ciberseguridad 360 | LockBit 3.0 Desencadena Ola de Ataques Ransomware

Cuando el a�o pasado se filtr� el preciado malware de la prol�fica banda de ransomware LockBit , LockBit 3.0 , los rivales y aspirantes a competidores se apresuraron a aprovechar la oportunidad.

Un an�lisis realizado por investigadores de Kaspersky muestra que varios otros grupos de amenazas aprovecharon la filtraci�n del constructor LockBit 3.0 para crear su propia versi�n personalizada del ransomware e implementarla en campa�as de extorsi�n.

En una publicaci�n del 25 de agosto, Eduardo Ovalle y Francesco Figurelli del Equipo de Respuesta a Emergencias Globales (GERT) de Kaspersky dijeron que no pas� mucho tiempo despu�s de la filtraci�n de septiembre de 2022 para que aparecieran nuevas variaciones del malware.

"Inmediatamente despu�s de la filtraci�n del constructor, durante una respuesta a un incidente por parte de nuestro equipo GERT, logramos encontrar una intrusi�n que aprovechaba el cifrado de sistemas cr�ticos con una variante del ransomware Lockbit 3", dijeron los investigadores.

"Aunque se confirm� que esta variante era Lockbit, el procedimiento de demanda de rescate era bastante diferente del que se sabe que implement� este actor de amenazas".

En la nota de rescate examinada por el GERT, los extorsionadores se hac�an llamar Agencia Nacional de Riesgos, un grupo hasta entonces desconocido.

La nota tambi�n se destac� porque inclu�a una demanda de rescate espec�fica ($3 millones) por las claves para descifrar los archivos de la v�ctima y proporcionaba detalles de contacto de correo electr�nico y chat. Por el contrario, el grupo LockBit utiliza su propia plataforma de comunicaci�n y negociaci�n para interactuar con sus v�ctimas.

Otros grupos de amenazas identificados mediante LockBit 3.0 incluyeron la operaci�n de ransomware Buhti de Blacktail, la banda de ransomware Bl00dy y GetLucky

C�mo se modific� el malware filtrado

Para tener una idea de c�mo se estaba implementando LockBit 3.0 y qui�n lo implement�, los investigadores de Kaspersky analizaron 396 muestras distintas del malware.

"El objetivo de este an�lisis es comprender los par�metros aplicados por diferentes actores para construir el malware tal como est� configurado en muestras detectadas en la naturaleza", dijeron Ovalle y Figurelli.

Descubrieron que 77 de las 396 muestras no inclu�an ninguna referencia a "LockBit" en su nota de rescate. Tal omisi�n del nombre ser�a "bastante inesperada" en t�rminos de las t�cticas, t�cnicas y procedimientos habituales de la pandilla, dijeron los investigadores.

"La nota de rescate modificada sin referencia a Lockbit o con una direcci�n de contacto diferente (correo/URL) revela un probable uso indebido del constructor por parte de actores distintos del Lockbit 'original'", dijeron.

Aparte de las notas de rescate modificadas, las muestras mostraron pocos cambios en el malware filtrado.

?Muchos de los par�metros detectados corresponden a la configuraci�n predeterminada del constructor, s�lo algunos contienen cambios menores. Esto indica que las muestras probablemente fueron desarrolladas para necesidades urgentes o posiblemente por actores perezosos?.

Si bien LockBit 3.0 incluye una funcionalidad para configurar una operaci�n de comando y control (C2) para que los datos puedan extraerse de las redes de las v�ctimas, los investigadores encontraron que "muy pocas" de las muestras que analizaron ten�an habilitada la funci�n de comunicaci�n C2.

"No se identificaron dominios sospechosos o maliciosos en las muestras analizadas, lo que demuestra que no hay inter�s en establecer comunicaciones C2 utilizando las cargas �tiles filtradas", dijeron Ovalle y Figurelli.

Seg�n Jon DiMaggio, estratega jefe de seguridad de Analyst1, la pandilla LockBit actualmente est� luchando con m�ltiples problemas que han hecho que los afiliados abandonen la organizaci�n en favor de sus competidores.

?LockBit no cumpli� con su fecha de lanzamiento m�s reciente para producir una variante de ransomware actualizada para respaldar a sus socios afiliados. En cambio, se basa en ransomware obsoleto y disponible p�blicamente, filtrado de sus competidores?, dijo DiMaggio, quien pas� meses investigando encubiertamente la operaci�n LockBit.

Fuente: scmagazine.com