Los actores de LockBit Ransomware ganaron más de $ 90 millones desde 2020

LockBit, una notoria operación de ransomware como servicio (RaaS), ha logrado extorsionar la asombrosa cantidad de $ 91 millones de varias organizaciones de EE. UU. a través de cientos de ataques desde 2020. Un boletín conjunto publicado por varias autoridades internacionales, incluida la Infraestructura y Ciberseguridad de EE. Security Agency (CISA) y el FBI, arrojaron luz sobre el alcance del daño causado por LockBit.

El boletín revela que LockBit funciona como un RaaS, lo que atrae a los afiliados a realizar ataques de ransomware utilizando su plataforma. Esto ha llevado a una red de actores de amenazas dispares que ejecutan diversos tipos de ataques. LockBit, que surgió a fines de 2019, ha mantenido su naturaleza disruptiva y prolífica, con estadísticas de Malwarebytes que indican que atacó hasta 76 víctimas solo en mayo de 2023. La banda de ransomware, que se cree que tiene vínculos con Rusia, se ha adjudicado la responsabilidad de más de 1653 ataques de ransomware hasta la fecha.

LockBit no ha escatimado en el sector de la infraestructura crítica, centrándose en industrias como las finanzas, la agricultura, la educación, la energía, el gobierno, la atención médica, la fabricación y el transporte. Ha experimentado actualizaciones significativas, incluidas LockBit Red en junio de 2021, LockBit Black en marzo de 2022 y LockBit Green en enero de 2023, la última de las cuales se basa en el código fuente filtrado de la banda Conti desmantelada. El ransomware también ha ampliado su alcance para apuntar a los sistemas Linux, VMware ESXi y Apple macOS, lo que lo convierte en una amenaza en constante evolución.

El modelo comercial de LockBit consiste en arrendar sus herramientas de ransomware a afiliados que ejecutan los ataques y las operaciones de extorsión. Inusualmente, el grupo permite que los afiliados reciban pagos de rescate directamente antes de compartir una parte con los desarrolladores principales.

LockBit aprovecha varias vulnerabilidades

Los ataques orquestados por LockBit han explotado vulnerabilidades en varios sistemas, incluidas las fallas recientemente reveladas en los servidores Fortra GoAnywhere Managed File Transfer (MFT) y PaperCut MF/NG. Además, se han explotado vulnerabilidades conocidas en dispositivos Apache Log4j2, F5 BIG-IP y BIG-IQ y Fortinet para el acceso inicial.

Los afiliados de LockBit han utilizado más de tres docenas de herramientas gratuitas y de código abierto para realizar un reconocimiento de la red, establecer acceso remoto, realizar el volcado de credenciales y filtrar archivos. En particular, el software legítimo del equipo rojo, como Metasploit y Cobalt Strike, también ha sido objeto de abuso en estas intrusiones.

El éxito de LockBit se puede atribuir a su innovación constante, en particular a su panel administrativo fácil de usar que simplifica la implementación de ransomware para personas con conocimientos técnicos limitados. El grupo revisa continuamente sus tácticas, técnicas y procedimientos (TTP) para mantenerse a la vanguardia.

En respuesta a la amenaza, CISA emitió una Directiva Operativa Vinculante instruyendo a las agencias federales a proteger los dispositivos de red expuestos a la Internet pública y minimizar la superficie de ataque. Esta directiva tiene como objetivo mitigar el riesgo de que los actores de amenazas aprovechen los dispositivos de red para obtener acceso sin restricciones a las redes organizacionales.

Además, un aviso reciente destacó los riesgos potenciales asociados con las implementaciones del controlador de administración de placa base (BMC), que podría proporcionar a los actores de amenazas un punto de apoyo y capacidades de ejecución previas al arranque.