El fallido regreso de LockBit 3.0 resalta el riesgo eterno de fuga de datos basados ​​en torrents (P2P) – Fuente: securityaffairs.com

El fallido regreso de LockBit 3.0 resalta el riesgo eterno de fuga de datos basados ​​en torrents (P2P)

La amplia accesibilidad basada en torrents de estos archivos de víctimas filtrados garantiza la longevidad del impacto dañino de LockBit 3.0.

Mientras se enfrenta a una banda de ransomware BloqueoBit 3.0 lucha por su supervivencia siguiendo Operación CronosDespués de un desmantelamiento coordinado de la infraestructura web del sindicato por parte de las autoridades globales, la disponibilidad de los datos de las víctimas filtrados por la pandilla persiste a través de Redes torrent peer-to-peer (P2P). La amplia accesibilidad basada en torrents de estos archivos de víctimas filtrados garantiza la longevidad del impacto dañino de LockBit 3.0.

Reseguridad tiene adquirido todos los archivos torrent agregados antes y después de la actualización del 2 de marzo de LockBit 3.0 para analizar las comunicaciones P2P relacionadas con datos filtrados y conexiones de red TOR. Cada archivo torrent analizado contenía un enlace a un servidor con un servicio oculto en la red TOR, indicando específicamente las fuentes para su descarga.

Luego de un anuncio del “regreso” de LockBit 3.0 que promocionaba una filtración del 2 de marzo, la cantidad de pares curiosos por LockBit aumentó exponencialmente. Este aumento sugiere un mayor interés por parte de actores clandestinos conectados con las actividades de Lockbit 3.0, incluidos sus antiguos afiliados y corredores de datos ansiosos por obtener registros robados. En general, Resecurity registró más de 450 pares únicos que accedieron a datos filtrados de LockBit 3.0 a través de torrents. “Durante este proceso, registramos una cantidad significativa de pares provenientes de varios países, incluidos Irán, China y Rusia..” – dijeron los expertos.

El famoso sindicato de ransomware anunció que los nuevos datos robados se publicarán en los próximos 15 días. Los expertos destacaron que la publicación anterior del 2 de marzo contenía varios volcados de datos reutilizados de filtraciones pasadas, al mismo tiempo que varios registros eran nuevos y no divulgados anteriormente.

Aclamado como el “grupo de ransomware más prolífico y dañino” rastreado en los últimos cuatro años en la conferencia de prensa de la Agencia Nacional contra el Crimen que detalla el barrido de Cronos del 20 de febrero, LockBit 3.0 rápidamente intentó un regreso que en gran medida ha sido descartado por la comunidad de ciberseguridad como un fracaso. Aún más notable que la actual campaña de relaciones públicas de crisis de LockBit 3.0 es el uso que hace el grupo de plataformas P2P para difundir filtraciones de datos a través de archivos torrent. De hecho, la comunidad de ciberseguridad a menudo pasa por alto el hecho de que LockBit 3.0 fue uno de los primeros grupos de ransomware en comenzar a incrustar datos filtrados en archivos torrent para descargarlos y cargarlos en TOR.

¿Por qué es importante esta táctica? En primer lugar, incluso si la infraestructura de un actor de amenazas se ve parcialmente interrumpida, los operadores de ransomware como servicio (RaaS) pueden hacer que los datos robados sean accesibles a una amplia audiencia a través de redes de torrents descentralizadas. Una vez descargados, los usuarios que poseen estos archivos automáticamente comienzan a sembrarlos, lo que significa que se convierten en nodos pares para compartir estos datos dentro de la red torrent. Las personas que descargan estos enlaces de ransomware basados ​​en torrents se convierten efectivamente en participantes activos en la filtración de datos, al igual que los usuarios que comparten películas o música pirateadas.

En segundo lugar, detener esta actividad plantea un desafío importante para los defensores, similar a las dificultades que enfrentan las industrias de la música, el cine y la televisión al combatir la piratería de contenidos a través de rastreadores de torrents. Las partes interesadas en datos robados de LockBit 3.0 no se limitan a los ciberdelincuentes; también incluyen competidores de la industria y empresas de inteligencia corporativa deseosas de aprovechar los datos filtrados en su beneficio.

El pronóstico principal de Resecurity es que más grupos de ransomware comenzarán a incorporar archivos compartidos basados ​​en torrents (P2P) en sus operaciones, amplificando la longevidad de la filtración de datos dañinos. Otros grupos RaaS destacados que han empleado esta característica incluyen Cl0P y Ransomed.VC, este último de los cuales destacamos en septiembre pasado por sus ataques a importantes empresas japonesas. El principal desafío es disuadir a los actores que ya han descargado los datos de sembrarlos. Esta tarea es compleja, particularmente cuando se trata de disuadir a actores que operan en jurisdicciones políticamente adversas o donde el estado de derecho es débil. Estos países podrían convertirse en “refugios seguros” para establecer rastreadores de torrents cibercriminales duraderos, potencialmente reemplazando o al menos complementando la red TOR como canal alternativo de entrega de datos. Más allá de la Dark Web, los sitios de fuga de datos podrían evolucionar hacia torrentes de fuga de datos, ofreciendo mayor protección de la privacidad y accesibilidad, facilitando así la distribución de datos robados.

Detalles técnicos adicionales sobre la investigación realizada por Resecurity están disponibles aquí:

https://www.resecurity.com/blog/article/lockbit-30s-bungled-comeback-highlights-the-undying-risk-of-torrent-based-data-leakage

Sigueme en Twitter: @seguridadaffairs y Facebook

Pierluigi Paganini

(Asuntos de seguridad – piratería, día cero)