La evolución constante de las amenazas cibernéticas es un tema que preocupa tanto a expertos en seguridad como a usuarios de tecnología. Entre estas amenazas, el ransomware LockBit ha capturado la atención recientemente, demostrando una vez más su capacidad para adaptarse y evolucionar en un entorno digital en constante cambio.
Con la introducción de nuevos cifradores y servidores en 2024, LockBit no solo ha reafirmado su presencia en el panorama de la ciberseguridad sino que también ha planteado nuevos retos para profesionales y organizaciones alrededor del mundo.
Te podrá interesar: LockBit: Resurgimiento después de la Interrupción Policial
El grupo de ransomware LockBit ha retomado sus actividades, empleando técnicas de cifrado avanzadas y emitiendo demandas de rescate que apuntan a servidores recientemente establecidos, esto tras un intento por parte de las autoridades de desmantelar su red la semana anterior.
En un esfuerzo coordinado denominado 'Operación Cronos', realizado la semana pasada, agencias como la NCA, el FBI y Europol lograron interrumpir las operaciones de LockBit. Esta acción incluyó la incautación de su infraestructura, la recuperación de herramientas para descifrar los datos afectados y, en un giro humillante para el grupo de ransomware, la transformación de su sitio de filtraciones en un portal de anuncios policiales.
Respondiendo rápidamente, LockBit estableció un nuevo sitio para sus filtraciones y publicó una extensa nota dirigida al FBI, criticando a las autoridades por supuestamente violar sus servidores mediante la explotación de una vulnerabilidad en PHP.
A pesar de este revés, el grupo no ha optado por reinventarse bajo un nuevo nombre. En cambio, han prometido fortalecer su infraestructura y adoptar medidas de seguridad más robustas. Su objetivo es prevenir futuras incursiones de las autoridades que pudieran comprometer su operación y acceder a las herramientas de descifrado.
Sitio de filtraciones de LockBit transformado en portal de noticias
Conoce más sobre: LockBit preparaba nuevo cifrado avanzado antes de ser eliminado
Desde ayer, parece que se han reanudado ataques utilizando nuevos métodos de cifrado y una infraestructura renovada para sitios de negociación y filtración de datos.
Según informes iniciales de Zscaler, la banda detrás del ransomware ha actualizado las notas de rescate de su cifrador con enlaces Tor hacia su nueva infraestructura. Posteriormente, se identificó muestras de estos cifradores subidas a VirusTotal, las cuales incluyen las notas de rescate renovadas.
Una firma de seguridad también verificó que los servidores dedicados a la negociación del rescate están operativos nuevamente, aunque limitados a víctimas de ataques recientes. Al momento de ser interrumpida, la operación contaba con aproximadamente 180 colaboradores ejecutando ataques en su nombre.
No está claro cuántos continúan asociados con el servicio de ransomware, especialmente después de que uno de ellos emitiera críticas públicas contra la operación en la plataforma X.
No obstante, se afirma que actualmente se está buscando reclutar a pentesters con experiencia para reincorporarse a sus filas, lo que sugiere la posibilidad de un incremento en la actividad de ataques en el futuro.
Resta ver si este movimiento es parte de una estrategia más amplia para eventualmente disminuir la presencia de este grupo y posiblemente reinventarse, como sucedió con Conti. Por el momento, lo más prudente es considerar que esta amenaza continúa activa.
Nuevas plataformas de negociación de LockBit
Te podrá interesar: Vinculan Ransomware 3AM con bandas de Cibercrimen Conti y Royal
La persistencia y evolución de LockBit plantean serios desafíos para individuos y organizaciones por igual. La capacidad del ransomware para adaptarse a contramedidas significa que las estrategias de defensa también deben evolucionar. A continuación, te presentamos algunas recomendaciones para protegerse contra amenazas como LockBit:
La primera línea de defensa contra el ransomware es la concienciación. Los trabajadores deben estar informados sobre las prácticas seguras en línea, como evitar la apertura de correos electrónicos sospechosos y la descarga de archivos de fuentes no confiables.
Mantener copias de seguridad regulares y seguras de los datos críticos es esencial. En caso de un ataque de ransomware, estas copias permiten a las organizaciones restaurar su información sin necesidad de pagar el rescate.
Es crucial mantener todos los sistemas y software actualizados con los últimos parches de seguridad. Los atacantes a menudo explotan vulnerabilidades conocidas que ya han sido corregidas en las versiones más recientes de software.
Te podrá interesar: ¿Tu software está al día?: Importancia de los Parches
El uso de soluciones de seguridad avanzadas, incluyendo antivirus, antimalware y firewalls, puede ayudar a detectar y bloquear la actividad maliciosa antes de que cause daño significativo.
Tener un plan de respuesta a incidentes en caso de ataque es vital. Esto incluye procedimientos para aislar los sistemas afectados, evaluar el alcance del daño y comunicarse tanto internamente como con las autoridades pertinentes.
LockBit representa un recordatorio constante de la necesidad de vigilancia y adaptación en el mundo de la ciberseguridad. A medida que este y otros ransomwares continúan evolucionando, también debe hacerlo nuestra respuesta a estas amenazas. La educación, la preparación y la inversión en seguridad son esenciales para protegerse en este panorama digital cada vez más complejo. La batalla contra el ransomware no es solo técnica; es también una cuestión de conciencia y colaboración.
Protege tu organización de manera proactiva con el SOC as a Service de TecnetOne. Nuestro SOC no solo monitorea, detecta y responde a amenazas en tiempo real, sino que también utiliza herramientas avanzadas como XDR (Detección y Respuesta Extendida), SIEM (Gestión de Eventos e Información de Seguridad), y XTI (Inteligencia de Amenazas Extendida) para asegurar una defensa robusta.
Mantén tus datos seguros 24/7 con nuestra tecnología de punta y experiencia en ciberseguridad. Contacta a TecnetOne hoy mismo y da el primer paso hacia una defensa sólida contra el ransomware.