Redacción TekiosPor Víctor Ruiz, fundador de SILIKN y mentor del Centro de Ciberseguridad 05000.
El grupo cibercriminal LockBit sigue incrementando sus actividades delictivas que lo colocan como una amenaza latente contra las empresas y dependencias de gobierno de varios países, entre los que se encuentra México.
Suscríbete a nuestro newsletter
Debemos recordar que Lockbit vulneró en 2020 a la Comisión Nacional de Seguros y Fianzas (CNSF), la cual forma parte de la Secretaría de Hacienda y Crédito Público de México; en 2022, vulneró a Foxconn México, firma dedicada a la fabricación de dispositivos médicos y electrónica de consumo, socio de gigantes tecnológicos como Apple, ubicada en la ciudad fronteriza de Tijuana, Baja California; también en 2022, vulneró a la Secretaría de Salud del Estado de Morelos, entre otras organizaciones en territorio nacional.
LockBit también tiene el primer lugar en América Latina y es responsable de al menos uno de cada tres incidentes en la región. En México, durante 2022, registró 30.8% de los ataques. Las detecciones de ransomware en el cuarto trimestre aumentaron un 39,8% en comparación con el trimestre anterior, ya que los grupos RaaS activos aumentaron un 41,7%.
La capacidad de LockBit para actualizar con frecuencia sus capacidades de malware y su sólido programa de afiliados le han permitido consolidar su posición en el espacio del ransomware-como-servicio. El grupo también es conocido por utilizar la doble extorsión en sus tácticas, la cual implica cifrar los datos de las víctimas y exigir el pago a cambio de restaurar el acceso, junto con la amenaza de exponer los datos robados en la Dark Web si las organizaciones se niegan a pagar el rescate.
De acuerdo con la unidad de investigación de SILIKN, LockBit ha comenzado a usar secuencias de comandos que permiten que el malware se extienda por sí mismo, lo que facilita que dicho malware se mueva lateralmente e infecte las computadoras, sin la necesidad de que los afiliados (que usan el malware de LockBit mediante el modelo de ransomware-como-servicio) sepan cómo aprovechar estas funciones.
De igual forma, el ransomware desarrollado por LockBit ha adoptado nuevos comportamientos que dificultan su análisis por parte de los investigadores. Por ejemplo, en algunos casos ahora requiere que el afiliado use una contraseña, en la línea de comando del binario del ransomware, cuando se inicia o de lo contrario no se ejecuta.
Un aspecto importante a señalar es el cuidado en el desarrollo del malware, pues la forma en que los afiliados de LockBit están implementando el ransomware muestra que sus ataques están diseñados para confundirse con el trabajo realizado por los pentesters, especialistas que han sido contratados de manera legal y autorizada por las organizaciones para realizar pruebas de penetración.
LockBit es un jugador importante en la escena del ransomware y ha contribuido en gran medida a que este modelo de ciberdelincuencia se convierta en uno de los más populares e imitados en el panorama de las amenazas. La versión 2.0 de su proyecto entró en escena en julio de 2021, mostrando de inmediato el potencial para convertirse en uno de los sindicatos líderes en este sector delictivo.
Tiene entre sus logros la velocidad de cifrado más rápida del mercado; una herramienta específicamente dirigida a la exfiltración de datos; mecanismos automatizados para la distribución de la carga útil y el cifrado de datos, entre otras innovaciones.
El 27 de junio de 2022, LockBit lanzó la versión 3.0 de su proyecto incluyendo muchas características nuevas. En este sentido, un punto importante es que a diferencia de la versión 2.0, la versión 3.0 se enfoca en presionar y extorsionar a sus víctimas. Al igual que otros grupos criminales, LockBit trabaja principalmente a través de su propio sitio de filtraciones, a través del cual gestiona y trata con las víctimas de sus operaciones.
Hasta ahora, a estas víctimas se les daba un período de tiempo definido para pagar el rescate solicitado, pero en el proyecto 3.0 el grupo criminal ha integrado nuevas funciones para la negociación, por ejemplo, pagando diferentes cantidades, ahora es posible extender el temporizador 24 horas, destruir todos los datos del sitio web o descargar todos los datos de inmediato, maximizando así el dinero que pueden obtener de cada víctima.
Otro aspecto interesante de la versión 3.0 es su Programa de Bug Bounty, algo nunca antes visto en este tipo de grupos criminales. El grupo no solo ofrece recompensas por encontrar vulnerabilidades, sino que también recompensa por aportar ideas brillantes sobre el modelo de ransomware-como-servicio.
La versión 3.0 de LockBit es prueba del dinamismo extremo del negocio del ransomware. Potencialmente, el grupo parece haber adquirido habilidades que otros grupos han operado activamente en el pasado.
Un tema a enfatizar es que la naturaleza depredadora de LockBit apunta a organizaciones percibidas como altamente vulnerables. Los datos del sitio de filtraciones de LockBit mostraron que vulneró principalmente a las organizaciones pequeñas que representaron el 74,9% en el tercer trimestre de 2022 y el 87,5% en el cuarto trimestre de 2022.
Las industrias de la construcción, atención médica, tecnología, fabricación, alimentos y productos básicos y servicios profesionales conformaron constantemente la lista de sus 10 principales tipos de víctimas.
