El grupo LockBit ha reactivado su campaña de ransomware sobre una infraestructura renovada, apenas unos días después de que sus servidores fueran comprometidos por las autoridades. Ahora, ponen en su mira incrementar los ataques contra el sector gubernamental.
Con el fin de captar la atención, bajo una supuesta filtración del FBI, el colectivo emitió un comunicado detallado expresando su descuido por haber permitido el acceso no autorizado y delineando sus estrategias futuras para sus operaciones.
El 19 de febrero, un operativo policial logró desmantelar la infraestructura de LockBit, afectando 34 servidores. Estos servidores eran cruciales para el funcionamiento de su portal de filtraciones, albergaban datos sustraídos a las víctimas, direcciones de monedas digitales, claves para desencriptar la información secuestrada y la interfaz de colaboradores.
Apenas cinco días después del golpe, LockBit resurgió, ofreciendo detalles sobre el incidente y sus futuros planes para reforzar su red y evitar intrusiones similares. Tras el ataque, el grupo reconoció la pérdida de los servidores que operaban bajo PHP, asegurando que sus sistemas alternativos, libres de PHP, permanecían intactos.
El sábado siguiente, LockBit anunció su intención de continuar con sus operaciones de ransomware, emitiendo un comunicado en el que admitían que "la negligencia y falta de responsabilidad personal" facilitaron la interrupción de sus actividades por parte de las autoridades en el marco de la Operación Cronos.
El colectivo ha decidido mantener su identidad, mudando su plataforma de divulgación de datos a un nuevo dominio .onion. En esta nueva dirección, ya listan a cinco entidades afectadas, acompañadas de cronómetros que anticipan la publicación de la información comprometida.
Entre las organizaciones mencionadas en el nuevo sitio de LockBit, algunas parecen ser objetivos de ataques previamente reportados.
El renovado portal de filtraciones de LockBit exhibe a cinco afectados
LockBit admite que las autoridades, a las que genéricamente llama el FBI, infiltraron dos de sus servidores principales, confesando que "tras cinco años nadando en dinero, me volví complaciente".
"Mi negligencia y falta de responsabilidad me llevaron a descuidar la actualización de PHP a tiempo". El grupo señaló que tanto el servidor dedicado a la gestión de chats y administración de víctimas como el servidor de su blog operaban bajo PHP 8.1.2, lo que probablemente facilitó el ataque aprovechando una vulnerabilidad crítica identificada como CVE-2023-3824.
LockBit informa que ya han actualizado el servidor PHP y ahora ofrecen recompensas a quien descubra vulnerabilidades en su versión más reciente.
Sugieren que el motivo detrás del ataque del "FBI" a su infraestructura fue el ransomware dirigido al condado de Fulton en enero, que amenazaba con exponer información sensible, incluidos detalles de casos judiciales de Donald Trump con potencial impacto en futuras elecciones estadounidenses.
Esto convenció a LockBit de incrementar sus ataques a entidades gubernamentales para forzar al "FBI" a revelar su capacidad de contraataque. El grupo afirma que las autoridades se hicieron con bases de datos, códigos de paneles web, backups de sistemas no tan críticos como se pretendía, y una cantidad menor de herramientas de descifrado no protegidas.
Conoce más sobre: LockBit preparaba nuevo cifrado avanzado antes de ser eliminado
Durante la Operación Cronos, se recuperaron más de 1.000 claves de descifrado. LockBit aclara que estas claves provenían de herramientas de descifrado no protegidas almacenadas en el servidor, donde había cerca de 20.000, la mitad de las aproximadamente 40.000 generadas durante la vida del ransomware.
Los "descifradores desprotegidos" se describen como versiones del malware sin la "protección máxima de descifrado", típicamente usada por afiliados de menor rango que exigen rescates de solo $2,000.
LockBit planea mejorar la seguridad de su infraestructura, optando por liberaciones manuales de herramientas de descifrado y muestras de archivos, además de distribuir el panel de afiliados en varios servidores y proporcionar a sus colaboradores acceso a versiones distintas según su nivel de confianza.
"Con la segmentación del panel y una mayor descentralización, junto con la eliminación del modo automático para las pruebas de descifrado y asegurando la máxima protección para las herramientas de cada empresa, reduciremos significativamente las posibilidades de ser hackeados" - LockBit
Este extenso comunicado de LockBit parece ser un esfuerzo por controlar el daño y restaurar la confianza en su manchada reputación. A pesar de recuperar sus servidores, los colaboradores tienen motivos suficientes para mantenerse escépticos.
Te podrá interesar leer: Detección de Ataques de Ransomware con Wazuh
El resurgimiento de LockBit sirve como un recordatorio de que la ciberseguridad es un campo de batalla dinámico y en constante cambio. La adaptabilidad y la persistencia de los actores de amenazas exigen una vigilancia continua y una adaptación proactiva de las estrategias de defensa.
La lucha contra el ransomware, es un claro recordatorio de la importancia de la colaboración entre organizaciones, proveedores de seguridad y autoridades gubernamentales para compartir conocimientos, estrategias y tácticas de defensa. Solo a través de un enfoque unificado y global será posible mitigar el impacto de estas amenazas y avanzar hacia un entorno digital más seguro para todos.