LockBit opera como un servicio de ransomware-as-a-service (RaaS), proporcionando licencias a sus afiliados para utilizar su malware. Una vez que el sistema de una víctima era infectado, los datos se cifraban y se solicitaba un rescate en criptomonedas a cambio de la clave de descifrado. LockBit cobra una comisión del 25% sobre el rescate recibido. Además, LockBit mantiene una página en la Dark Web para amenazar y publicar datos robados de las víctimas.
Lockbit takedown: lockbit en comparación con otras cepas de ransomware
Lo que sabemos sobre la eliminación actual de LockBit
A pesar de su éxito inicial, LockBit ha enfrentado dificultades recientes. La Operación Cronos, una estrategia policial internacional, ha logrado poner fin a LockBit, considerado uno de los ransomware más peligrosos y activos. Esta operación, llevada a cabo con la colaboración de la Agencia Nacional Contra el Crimen del Reino Unido (NCA), Europol y Eurojust, resultó en el arresto de dos miembros de la banda y la incautación de más de 200 cuentas de criptomonedas. Además, se logró obtener el código fuente de la plataforma y valiosa información sobre la actividad del grupo y sus colaboradores.
El equipo de LockBit podría intentar resucitar con un nombre diferente o a través de afiliados que no se vieron directamente afectados. Los desarrolladores principales o afiliados pueden trasladar las operaciones a una infraestructura nueva y más reforzada, con técnicas de difusión y explotación adaptadas o dirigidas a diferentes perfiles de víctimas, lo que dificulta que las fuerzas del orden las rastreen. LockBit ya puso a disposición un sitio de respaldo con toda la información filtrada y algunos informes sugieren que enviaron una comunicación asegurando a sus afiliados que la operación es segura.
Los grupos de ransomware a menudo se reorganizan y adaptan para evadir a las autoridades. Por lo tanto, es importante que las organizaciones y los usuarios sigan manteniendo altos niveles de seguridad y estén preparados para enfrentar posibles ataques de ransomware.
En Argentina, se han registrado varios casos de ransomware relacionados con el grupo LockBit.
Algunas recomendaciones desde VULPS es tomar diversas acciones para combatir el ransomware y proteger a las organizaciones de los ciberataques. A continuación, se presentan algunas de las acciones que se están llevando a cabo:
- Concientización y educación.
- Supervisión de seguridad de Red.
- Planificación de Respuesta a Incidentes.
- Actualizaciones periódicas y parches.
- Reducción de superficie de ataque.
- Preparación general para el ransomware
