A pesar de que el grupo de ransomware como servicio (RaaS) LockBit afirma haber regresado después de un derribo de alto perfil a mediados de febrero, un análisis revela una interrupción significativa y continua de las actividades del grupo, junto con efectos en cadena en todo el mundo del cibercrimen. con implicaciones para el riesgo empresarial.
LockBit fue responsable del 25% al 33% de todos los ataques de ransomware en 2023, según Trend Micro, lo que lo convierte fácilmente en el mayor grupo de actores de amenazas financieras del último año. Desde que surgió en 2020, se ha cobrado miles de víctimas y millones en rescates, incluidos ataques cínicos a hospitales durante la pandemia.
El Esfuerzo de la Operación Cronosque involucró a múltiples agencias policiales en todo el mundo, provocó interrupciones en las plataformas afiliadas a LockBit y la adquisición de su sitio de filtración por parte de la Agencia Nacional contra el Crimen (NCA) del Reino Unido. Luego, las autoridades utilizaron este último para realizar arrestos, imponer sanciones, incautar criptomonedas y más actividades relacionadas con el funcionamiento interno del grupo. También publicitaron el panel de administración de LockBit y expusieron los nombres de los afiliados que trabajan con el grupo.
Además, señalaron que las claves de descifrado estarían disponibles y revelaron que LockBit, contrariamente a sus promesas a las víctimas, nunca eliminó los datos de las víctimas después de realizar los pagos.
En general, fue una inteligente demostración de fuerza y acceso por parte de la comunidad policial, que asustó a otros en el ecosistema inmediatamente después y generó cautela cuando se trata de trabajar con cualquier versión reemergente de LockBit y su cabecilla, que se hace llamar manejar “LockBitSupp”.
Los investigadores de Trend Micro señalaron que, dos meses y medio después de la Operación Cronos, hay muy poca evidencia de que las cosas estén mejorando para el grupo, a pesar de las afirmaciones de LockBitSupp de que el grupo está regresando a sus operaciones normales.
Un tipo diferente de lucha contra el cibercrimen
La Operación Cronos fue inicialmente recibida con escepticismo por los investigadores, quienes señalaron que otros derribos recientes y de alto perfil de grupos RaaS como Black Basta, conti, Colmenay Royal (sin mencionar la infraestructura para troyanos de acceso inicial como La emocion, Qakboty TrickBot), sólo han supuesto contratiempos temporales para sus operadores.
Sin embargo, el ataque a LockBit es diferente: la gran cantidad de información a la que las fuerzas del orden pudieron acceder y hacer pública ha dañado permanentemente la posición del grupo en los círculos de la Dark Web.
“Si bien a menudo se centran en destruir la infraestructura de comando y control, este esfuerzo fue más allá”, explicaron los investigadores de Trend Micro en un análisis publicado hoy. “Se vio a la policía lograr comprometer el panel de administración de LockBit, exponer a los afiliados y acceder a información y conversaciones entre afiliados y víctimas. Este esfuerzo acumulativo ha ayudado a empañar la reputación de LockBit entre los afiliados y la comunidad de delitos cibernéticos en general, lo que hará que sea más difícil regresar”.
De hecho, las consecuencias de la comunidad de delitos cibernéticos fueron rápidas, observó Trend Micro. Para uno, LockBitSupp ha sido prohibido de dos foros clandestinos populares, XSS y Exploit, lo que obstaculiza la capacidad del administrador para obtener soporte y reconstruir.
Poco después, un usuario de X (anteriormente Twitter) llamado “Loxbit” afirmó en una publicación pública haber sido engañado por LockBitSupp, mientras que otro presunto afiliado llamado “michon” abrió un hilo de arbitraje en el foro contra LockBitSupp por falta de pago. Un corredor de acceso inicial que utilizaba el identificador “dealfixer” anunciaba sus productos, pero mencionaba específicamente que no quería trabajar con nadie de LockBit. Y otro IAB, “n30n”, abrió un reclamo en el foro ramp_v2 sobre la pérdida de pago relacionada con la interrupción.
Quizás peor aún, algunos comentaristas del foro estaban extremadamente preocupados por la gran cantidad de información que la policía pudo recopilar, y algunos especularon que LockBitSupp podría incluso haber trabajado con las autoridades en la operación. LockBitSupp anunció rápidamente que una vulnerabilidad en PHP era la culpable de la capacidad de las fuerzas del orden para infiltrarse en la información de la pandilla; Los habitantes de la Dark Web simplemente señalaron que el error tiene meses y criticaron las prácticas de seguridad de LockBit y la falta de protección para los afiliados.
“Los sentimientos de la comunidad de delitos cibernéticos ante la interrupción de LockBit variaron desde la satisfacción hasta la especulación sobre el futuro del grupo, insinuando el impacto significativo del incidente en la industria RaaS”, según el análisis de Trend Micro, publicado hoy.
El efecto paralizador de LockBit Disruption en la industria RaaS
De hecho, la interrupción ha provocado cierta autorreflexión entre otros grupos activos de RaaS: un operador de Snatch RaaS señaló en su canal Telegram que todos estaban en riesgo.
“Alterar y socavar el modelo de negocio parece haber tenido un efecto mucho más acumulativo que ejecutar una eliminación técnica”, según Trend Micro. “La reputación y la confianza son claves para atraer afiliadosy cuando se pierden, es más difícil lograr que la gente regrese. La Operación Cronos logró atacar un elemento de su negocio que era más importante: su marca”.
Jon Clay, vicepresidente de inteligencia de amenazas de Trend Micro, le dice a Dark Reading que el efecto paralizador de LockBit y la disrupción en los grupos RaaS en general presentan una oportunidad para la gestión de riesgos comerciales.
“Este puede ser un momento para que las empresas reevalúen sus modelos de defensa, ya que podemos ver una desaceleración en los ataques mientras estos otros grupos evalúan su propia seguridad operativa”, señala. “Este también es el momento de revisar un plan de respuesta a incidentes comerciales para asegurarse de tener cubiertos todos los aspectos de una infracción, incluida la continuidad de las operaciones comerciales, el seguro cibernético y la respuesta: pagar o no pagar”.
Los signos de vida de LockBit son muy exagerados
LockBitSupp, no obstante, está intentando recuperarse, según descubrió Trend Micro, aunque con pocos resultados positivos.
Se lanzaron nuevos sitios de filtración de Tor una semana después de la operación, y LockBitSupp dijo en el foro ramp_v2 que la pandilla está buscando activamente IAB con acceso a los dominios .gov, .edu y .org, lo que indica una sed de venganza. No pasó mucho tiempo antes de que decenas de supuestas víctimas comenzaran a aparecer en el sitio de la filtración, empezando por el FBI.
Sin embargo, cuando llegó y pasó la fecha límite para el pago del rescate, en lugar de que aparecieran datos confidenciales del FBI en el sitio, LockBitSupp publicó una larga declaración de que continuaría operando. Además, más de dos tercios de las víctimas consistieron en ataques recargados que ocurrieron antes de la Operación Cronos. Del resto, las víctimas pertenecían a otros grupos, como ALPHV. En total, la telemetría de Trend Micro reveló sólo un pequeño grupo de actividad LockBit real después de Cronos, de una filial en el sudeste asiático que tenía una demanda de rescate baja de 2.800 dólares.
Quizás lo más preocupante es que el grupo también ha estado desarrollando una nueva versión de ransomware: Lockbit-NG-Dev. Trend Micro descubrió que tiene un nuevo núcleo .NET, que le permite ser más independiente de la plataforma; también elimina las capacidades de autopropagación y la posibilidad de imprimir notas de rescate a través de las impresoras del usuario.
“La base del código es completamente nueva en relación con el cambio a este nuevo lenguaje, lo que significa que probablemente se necesitarán nuevos patrones de seguridad para detectarlo. Sigue siendo una pieza de ransomware funcional y poderosa”, advirtieron los investigadores.
Aún así, estos son, en el mejor de los casos, signos anémicos de vida para LockBit, y Clay señala que no está claro hacia dónde irán él o sus afiliados a continuación. En general, advierte, los defensores deberán estar preparados para los cambios en las tácticas de las bandas de ransomware en el futuro a medida que quienes participan en el ecosistema evalúen la situación.
“Es probable que los grupos RaaS estén viendo cómo las fuerzas del orden detectan sus propias debilidades”, explica. “Pueden revisar a qué tipos de empresas/organizaciones se dirigen para no prestar mucha atención a sus ataques. Los afiliados pueden considerar cómo pueden pasar rápidamente de un grupo a otro en caso de que su grupo principal de RaaS sea eliminado”.
Añade que “el cambio hacia la exfiltración de datos únicamente frente a las implementaciones de ransomware puede aumentar, ya que no interrumpen un negocio, pero aún pueden permitir ganancias. También podríamos ver a los grupos RaaS cambiar completamente hacia otros tipos de ataques, como el compromiso del correo electrónico empresarial (BEC)que no parecen causar tanta perturbación, pero siguen siendo muy lucrativos para sus resultados”.
Fuente Original CISO2CISO.COM & CYBER SECURITY GROUP
