Una “emprendedora” banda de ransomware está reclutando trabajadores, prometiendo millones en recompensas para las personas que deseen infectar la red de su empresa con el ransomware LockBit 2.0, cuyo resurgimiento en Australia y relevante por el reciente ataque a la transnacional Accenture, ha generado preocupación y una advertencia de los expertos en ciberseguridad.
“Varias organizaciones australianas” en servicios profesionales, construcción, industria, venta minorista y alimentos han recibido demandas de rescate tras ser golpeadas por LockBit 2.0, dijo el Centro Australiano de Seguridad Cibernética (ACSC) en un aviso reciente que envió la organización advirtiendo de un ” fuerte y significativo aumento ”en las infecciones por esta amenaza.
LockBit 2.0 es una actualización importante del ransomware LockBit, que se detectó por primera vez en septiembre de 2019 y ha disfrutado de una sólida carrera explotando activamente las vulnerabilidades en Fortinet y otras herramientas de seguridad.
Al igual que su predecesor, LockBit 2.0 es una aplicación web de ransomware como servicio que maneja tanto el cifrado de archivos de la empresa como el robo de datos de la red atacada.
El paquete proporciona todo lo necesario para los ataques de ransomware de “doble extorsión”, en los que el malware descarga datos de la empresa mientras los cifra y amenaza con venderlos en la Dark Web o publicarlos si no se paga el rescate.
LockBit 2.0 se promueve activamente con un “programa de afiliados” para las personas a las que se les promete entre el 70 y el 80 por ciento de cualquier pago de rescate obtenido de su distribución.
Una página de marketing, descubierta por Kela, la firma israelí de inteligencia de amenazas en Dark Web (https://twitter.com/Intel_by_KELA/status/1406905385580118017), promete que los afiliados obtendrán acceso a StealBit, descrito como “el ladrón más rápido del mundo”, el cual posee mejor resultados de desempeño al robar información en comparación de otras herramientas usadas por otros grupos criminales.
Debido a que está alojado en la nube, el código se actualiza continuamente, con una versión reciente que agrega la capacidad de cifrar redes completas de Windows mediante políticas de grupo en Active Directory, tecnología usada para administrar el acceso de usuarios y dispositivos en la mayoría de las empresas.
“Lo único que tiene que hacer es acceder al servidor central, mientras que LockBit 2.0 hará todo el resto”, dice una página de información sobre el programa de afiliados.
Bundles y cibercrimen as a service
El ACSC ofrece una serie de estrategias de mitigación para que las empresas eviten el compromiso de LockBit y LockBit 2.0, sin embargo, a pesar de algunas victorias, las empresas de todos los sectores continúan cayendo en masa a medida que los autores de ransomware desarrollan y refinan continuamente sus métodos.
El uso explosivo de ataques de “doble extorsión” hizo que los pagos promedio de ransomware aumentaran un 82 por ciento interanual, a $ 775,000 ($ US570,000) solo en la primera mitad de este año, según un análisis reciente de Unit 42 de la firma de ciberseguridad Palo Alto Networks.
Gran parte de este crecimiento se debe al “empaquetado” automatizado de malware que se ha convertido en la nueva forma de operar de los ciberdelincuentes. Han logrado grandes avances no solo en el desarrollo de ofertas de malware y ransomware como servicio, sino también en el “empaquetando con una gran variedad de códigos para robar o dañar datos.
Las bandas de delincuentes cibernéticos están usando diversas tácticas para presionar a las empresas para que paguen rescates, advirtió Unit 42, señalando un número creciente de ataques de “extorsión cuádruple” que incluyen el cifrado de archivos; robar datos por amenaza de liberación; lanzar ataques de denegación de servicio (DDoS) que bloquean los sitios web de las víctimas; e incluso acoso, en el que los ciberdelincuentes se ponen en contacto de forma activa con clientes, socios comerciales, empleados y organizaciones de medios para dar a conocer la vulneración de la empresa.
Los pagos de ransomware se han convertido en un problema tan importante para las empresas australianas que el gobierno lanzó recientemente un grupo de trabajo de múltiples agencias, llamado Operación Orcus, que incluirá a 22 miembros de la unidad de investigaciones criminales cibernéticas dirigidos por la Policía Federal Australiana.
El grupo de trabajo es parte de una ofensiva más amplia contra la industria ciberdelincuente que ha hecho que el gobierno presione a las empresas para que no paguen rescates, amenazando con obligarlos a revelar los pagos que han realizado y prohibiendo las indemnizaciones de ransomware por parte de las compañías de seguros.
Fuente: David Braue (Information Age)
