• Ciberseguridad

Lockbit Ransomware 3.0: La evolución del malware

Lockbit Ransomware 3.0

Desde su aparición en septiembre de 2019 y sus posteriores actualizaciones, el Lockbit Ransomware se ha convertido en un referente importante en el mundo de la ciberdelincuencia. Además, ha contribuido en gran medida a que este modelo de Ransomware se siga distribuyendo y renovando. Hoy por hoy, ya podemos hablar de Lockbit 3.0 Ransomware.

Esta banda de ciberdelincuentes proporciona sus servicios a otros expertos y de esta manera propagan este tipo de malware siendo así la operación de Ransomware más prolífica, ya que representaron el 40% de los ataques conocidos en mayo de 2022. El Lockbit Ransomware se caracterizan por tener una alta eficiencia y rapidez en sus ataques, además dentro de su moralidad resaltan códigos tales como, no atacar organizaciones gubernamentales, de atención médica, entre otros; particularidades que tampoco los exonera de sus responsabilidades legales.

El Lockbit Ransomware y su constante mejoría

El 27 de junio de 2022, fiel a su esencia innovadora, Lockbit Ransomware lanzó la tercera versión de su malware en la cual se han incluido cierta variedad de características nuevas.

Lockbit trabaja principalmente a través de su propio DLS (Data Leak Site) este gestiona y trata las operaciones con sus víctimas, hasta ahora a las víctimas se les daba un periodo de tiempo bien definido para pagar el rescate, pero la versión 3.0 de Lockbit incluye nuevas posibilidades de negociación; incluso al pagar una tarifa específica, la víctima tendrá la posibilidad de extender el temporizador 24 horas, destruir todos los datos o descargarlos de inmediato, de esta manera no harían público el precio real del rescate y básicamente estarían maximizando el dinero que pueden obtener de cada víctima.

Programa de recompensas (Bug bounty) de Lockbit 3.0

La versión 3.0 del Lockbit ransomware ha introducido un programa pionero de recompensas por vulnerabilidades, solicitando informes de seguridad a investigadores éticos y no éticos. A cambio de información sobre vulnerabilidades web, se ofrecen recompensas que van desde los 1.000 hasta 1 millón de dólares. Además, Lockbit Ransomware no se limita a dar recompensas por reportes de fallos, sino que también ofrece pagos por «ideas brillantes» destinadas a mejorar el funcionamiento del Ransomware.

Categorías de recompensas:

  • Bugs de sitios web: Vulnerabilidades XSS, inyecciones mysql, conseguir un shell al sitio y más, se pagará dependiendo de la gravedad del bug, la dirección principal es conseguir un descifrador a través del sitio web de bugs, así como el acceso al historial de correspondencia con las empresas encriptadas.
  • Bugs de casilleros: Cualquier error durante la encriptación por parte de los casilleros que conduzca a archivos corruptos o a la posibilidad de desencriptar archivos sin conseguir un desencriptador.
  • Ideas brillantes: Ofrecen compensación por ideas que contribuyan a mejorar tanto su sitio web como su software. Buscan propuestas innovadoras y útiles, dispuestos a remunerar aquellas que destaquen. La pregunta clave que plantean es: «¿Qué aspectos interesantes tienen nuestros competidores que aún no hayamos incorporado nosotros?»
  • Doxing: Ofrecen una recompensa exacta de un millón de dólares por revelar la identidad del jefe del programa de afiliados. Tanto si eres un agente del FBI como un hacker experto en la localización de personas, puedes contactarlos a través de un mensajero TOX. Proporciona el nombre del jefe y obtén un millón de dólares en bitcoin o monero como recompensa.
  • TOX messenger: Vulnerabilidades de TOX messenger que permiten interceptar la correspondencia, ejecutar malware, determinar la dirección IP del interlocutor y otras vulnerabilidades interesantes.
  • Red Tor: Se ofrece una compensación por cualquier vulnerabilidad que permita acceder a la dirección IP del servidor que aloja el sitio en el dominio de la cebolla. Además, se busca obtener acceso root a los servidores, seguido de la extracción de la base de datos y los dominios de la cebolla.
image 12
Lockbit ransomware

Nota de rescate de Lockbit Ransomware 3.0

La nota de rescate indica que los datos son robados y encriptados. Si las víctimas no pagan el rescate, los datos serán publicados en la “dark web”. Da instrucciones de cómo ponerse en contacto con los delincuentes y advierte que eliminar o modificar los archivos encriptados provocará problemas con su descifrado.

Aún no está claro que cambios técnicos tendría el cifrador, sin embargo las notas de rescate ya no se llaman “Restore-my-files”, en su lugar su nombre y formato han cambiado a [id].README.tx.

Zcash, nueva opción de pago

Monero, Bitcoin y Zcash son los íconos de criptomonedas que se muestran en la nota de rescate al momento de pagar.

Aunque no sorprende, sí resalta la adición de Zcash como una nueva facilidad al momento de pagar. Una de las razones puede ser que las empresas de seguimiento de criptomonedas han demostrado en repetidas ocasiones que se puede rastrear el Bitcoin.

Zcash es una moneda que centra su operación en la privacidad, lo que la hace más difícil de rastrear, y actualmente se ofrece a la venta en los exchanges más populares, lo que la diferencia de Monero, que aunque también es una moneda de privacidad, la gran mayoría de intercambios de criptomonedas no la ofrecen a la venta.

¿Qué pasos debes seguir en caso de un ataque Lockbit Ransomware 3.0?

Como en cualquier caso de una infección con este malware, deberás seguir los siguientes pasos para evitar afectar más dispositivos y responder ante el caso:

  1. Toma medidas para contener el ataque.
  2. Aísla tu dispositivos y de ser posible, mueve tus datos a ubicaciones seguras.
  3. De forma rápida, haz un balance de la situación y determina qué tanto se han visto afectados sus sistemas, identifica de dónde pudo provenir el ataque, recolecta evidencia y de ser posible, restaura tus copias de seguridad.
  4. Asegúrate de medir el impacto, con eso identificarás si otros dispositivos se han visto afectados y actúa de la misma manera.
  5. Prepara un plan de comunicación para difundir la información y los siguientes pasos para actuar ante el ataque.
  6. Comunícate con un equipo de expertos que puedan guiarte y recuperar tus datos de forma segura haciendo clic aquí.

Somos expertos en temas de Ransomware, si buscas más información al respecto, puedes encontrarnos en le siguiente link Ransomware, ¿Qué es y cómo funciona?.

Otros artículos