LockBit: grupo cibercriminal que innova y eleva la dificultad para los defensores
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
En cualquier sector, los visionarios son aquellos que impulsan el progreso y la innovación y lo mismo aplica al mundo de los grupos cibercriminales. La mayoría de estos grupos intentan mantener un perfil bajo, porque no confían en nadie y además necesitan tener un control estricto sobre su flujo de dinero.
Sin embargo, en este entorno surge LockBit, un grupo cibercriminal que no solo mantiene un perfil alto, sino que también ha revolucionado la monetización de los rescates por ataques de ransomware. Gracias a su peculiar enfoque, el grupo se ha adjudicado alrededor del 54.9% del total de ataques de ransomware lanzados en 2022.
En cuestión de unos pocos años, la pandilla de ransomware LockBit se ha convertido en uno de los grupos cibernéticos organizados más notorios de la historia. Anteriormente conocido como ransomware ABCD, LockBit hizo su aparición a finales de 2019 y experimentó un rápido aumento en su popularidad.
Al operar bajo el modelo de ransomware como servicio (RaaS), el grupo integra al menos dos equipos: uno, que desarrolla el malware y administra su sitio web y otro, que gestiona el acceso al código fuente, por parte de su red de afiliados, quienes ayudan a identificar a las víctimas y a ejecutar los ataques cibernéticos. Los afiliados son expertos en diversas áreas, como la búsqueda de vulnerabilidades o el cracking de redes.
Antes de LockBit, el proceso de pago implicaba que cada afiliado recibiera una parte del rescate al final, algo así como un sistema de cobro. Sin embargo, esto dio como resultado que a muchos afiliados no se les pagara una parte justa (la cual fue una queja común en los foros clandestinos).
Ante este problema, LockBit, creó un equipo de negociadores que pudieran mediar los pagos justos y colocó a los afiliados al centro de las negociaciones y los pagos. Este hecho generó confianza y eliminó el temor a ser estafado. Esta actitud, junto con un producto de ransomware mejorado, convirtió a LockBit en la opción preferida entre los afiliados. Debido a la gran demanda, el grupo ahora es responsable de casi la mitad de todos los ataques de ransomware en todo el mundo.
En junio de 2020, apareció un anuncio inusual en los foros rusos de la Dark Web. Entre los muchos anuncios de productos ilegales, destacó una convocatoria de artículos de investigación (estilo académico), en donde LockBit invitó a la comunidad a enviar presentaciones sobre temas como la obtención de shells, la codificación de malware, los virus, el desarrollo de bots y la monetización, ofreciendo un premio en efectivo de $5,000 dólares para la mejor investigación.
Esta convocatoria fue sólo el comienzo de las acciones de LockBit para profesionalizar el grupo, pues esta actividad, como muchas otras, tenían como objetivo elevar las operaciones y los estándares del grupo. Posteriormente, LockBit fue paulatinamente transformando la infraestructura del grupo, reclutando desarrolladores para crear paneles de ransomware fáciles de usar.
De igual forma, LockBit creó un logotipo, el cual se convirtió en la representación visual de la marca LockBit y, desde entonces, ha aparecido en su sitio web de filtraciones, hasta en las notas de rescate y cualquier otra actividad en la que participan. Incluso comenzaron a ofrecer a las personas entre $500 a $1,000 dólares por tatuarse el logotipo de LockBit en sus cuerpos.
A partir de ahí, LockBit hizo que su negocio de ransomware fuera más eficiente y fácil de usar con LockBit 2.0. Creó un tablero para realizar un seguimiento de los ataques y agregó funciones como notificaciones automáticas y un proceso de cifrado de datos más rápido. La consola de administración central hizo que todos los elementos de un ataque de ransomware fueran más fáciles de usar, incluso para aquellos con habilidades de codificación limitadas.
Otro punto a enfatizar, fue el hecho de que LockBit 3.0 hizo historia al lanzar el primer programa de recompensas por errores (Bug Bounty) iniciado por un grupo de ransomware. La operación ha convocado a los expertos en seguridad a descubrir vulnerabilidades y reportarlas por recompensas que van desde $1,000 hasta 1 millón de dólares.
Además, LockBit ha ampliado su programa de recompensas por errores más allá de solo pagar por las vulnerabilidades descubiertas y ahora ofrece recompensas por formas creativas de mejorar su operación de ransomware. Incluso ofrecieron un premio en efectivo de $1 millón de dólares para cualquiera que pudiera identificar al líder que está detrás de la operación del grupo.
Cabe mencionar que el malware LockBit fue responsable de una gran parte de los ataques de ransomware contra organizaciones e infraestructuras industriales en 2022, causando estragos en al menos 1000 víctimas en todo el mundo. Los extorsionadores de LockBit han exigido al menos 100 millones de dólares en demandas de rescate y han obtenido decenas de millones de dólares de sus víctimas. El FBI comenzó su investigación sobre el grupo a principios de 2020 y, en febrero de 2022, emitió una alerta de advertencia, destacando que LockBit utiliza una amplia gama de tácticas, técnicas y procedimientos (TTP), lo que presenta grandes desafíos para los defensores.
En algún momento LockBit puede desaparecer víctima de su propia popularidad, ya que cada vez está llamando más la atención de gobiernos, autoridades, fuerzas del orden y defensores, los cuales han estado dedicando más recursos, con mayor prioridad y frecuencia, para poder detenerlos.
Para mayor información, visite: https://www.silikn.com/