En lo que probablemente sea la primera vez en el mundo, los operadores de LockBit agregaron un programa de recompensas por errores al lanzar la versión 3.0 de su ransomware, que ofrece pagos a aquellos que descubren vulnerabilidades en su sitio web de fugas y en su código.
En capturas de pantalla que circulan en línea, la pandilla de ransomware como servicio (RaaS) dice que su objetivo es “hacer que el ransomware vuelva a ser grandioso” y detalla una variedad de áreas en las que está buscando aportes de “todos los investigadores de seguridad, piratas informáticos éticos y no éticos en el planeta”, con pagos desde $1.000.
La pandilla LockBit está particularmente interesada en escuchar acerca de los errores del sitio web, como las vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) que podrían permitir que personas externas obtengan su herramienta de descifrado o accedan a los registros de chat de sus víctimas, errores en su casillero que podrían permitir a las víctimas recuperar sus archivos. sin pagar por la herramienta de descifrado.
Parece que también está ofreciendo una recompensa de 1 millón de dólares por engañar a objetivos de alto perfil, así como al jefe de su programa de afiliados, aunque el lenguaje sobre este punto no está claro. Sin embargo, quizás valga la pena señalar que la inteligencia anterior recopilada por Trend Micro sugiere que LockBit es conocido por reclutar a personas internas para llevar a cabo sus ataques.
El grupo de ransomware Lockbit anunció hoy que Lockbit 3.0 se lanza oficialmente con el mensaje: “¡Haga que el ransomware vuelva a ser grandioso!”
Además, Lockbit ha lanzado su propio programa Bug Bounty pagando por PII en individuos de alto perfil, vulnerabilidades de seguridad web y más… pic.twitter.com/ByNFdWe4Ys
— vx-underground (@vxunderground)
26 de junio de 2022
Al comentar sobre el movimiento inusual, Suleyman Ozarslan, cofundador de Picus Security, dijo que caracterizó la evolución en curso hacia una mayor colaboración dentro del mundo ciberdelincuente, como lo demuestra el uso de intermediarios de acceso inicial (IAB), por ejemplo.
“La pandilla del ransomware LockBit [has] amplió el uso de otros actores de amenazas motivados financieramente con Lockbit 3.0. Anteriormente, pagaban por vulnerabilidades y errores en aplicaciones, incluidas herramientas de control remoto y aplicaciones web. Ahora, también pagan por información personal privada sobre personas importantes para sus campañas de doxing”, dijo Ozarslan.
“Además, ahora están pagando por errores para mejorar sus herramientas y buscando ideas para mejorar su sitio web y ransomware. Esto incluye errores de casilleros, errores en el mecanismo de cifrado del ransomware, vulnerabilidades en su herramienta de mensajería, el mensajero Tox y su canal de mensajería en la red Tor.
“En mi opinión, aprovechar tanto los piratas informáticos éticos como los no éticos con estos métodos de pago dará como resultado un ransomware más avanzado”.
Según la publicación hermana de Computer Weekly, LeMagITel código fuente del sitio de LockBit sugiere una serie de otras mejoras en la versión 3.0, que incluyen nuevos medios de monetización y recuperación de datos, o incluso destrucción si la víctima lo elige, y la capacidad de las víctimas de pagar en la criptomoneda Zcash, además de Bitcoin. y Monero.
Activo desde finales de 2019, LockBit se ha convertido en una amenaza importante para las organizaciones y, aunque aún no ha alcanzado la infamia otorgada a empresas como Conti o REvil, la caída de Conti ha dejado un vacío en el mercado que está feliz de llenar. .
El mes pasado, el ransomware anterior de la pandilla, LockBit 2.0, representó el 40 % de los ataques observados por NCC Group. Matt Hull, líder global de NCC para inteligencia de amenazas estratégicas, dijo: “Lockbit 2.0 ha consolidado rápidamente su lugar como el actor de amenazas más prolífico de 2022. Es crucial que las empresas se familiaricen con sus tácticas, técnicas y procedimientos. Les dará una mejor comprensión de cómo protegerse contra ataques y las medidas de seguridad más apropiadas para implementar”.
Trend Micro señaló que los principales operadores o desarrolladores de LockBit son particularmente expertos técnicamente en el desarrollo de lo que razonablemente podría llamarse un ransomware de alto rendimiento que es particularmente rápido y eficiente.
El lanzamiento de LockBit 2.0 vio el debut de un nuevo malware llamado StealBit para automatizar la exfiltración de datos, y también ha liderado la carga hacia hosts Linux, específicamente servidores ESXi. No hay razón para suponer que LockBit 3.0 será menos sofisticado.
Según las métricas de Trend, recopiladas entre junio de 2021 y enero de 2020, la mayoría de las detecciones relacionadas con LockBit se observaron en el sector de la salud, seguido de educación, tecnología, servicios financieros y fabricación. Un análisis de su sitio de fuga, entre diciembre de 2021 y enero de 2022, encontró que la mayoría de las víctimas se encontraban en los servicios financieros o profesionales, seguidos por los sectores industrial, legal y automotriz.
Otro punto a tener en cuenta incluye una posible preferencia por las víctimas en Europa que pueden verse motivadas a pagar por temor a ser encontradas en incumplimiento del Reglamento General de Protección de Datos (GDPR).
