Lo + Nuevo
Tag

Lockbit

Browsing

Ciberataque de LockBit a la Reserva Federal: 33TB de Datos Comprometidos

El reciente ataque cibernético dirigido contra la Junta de la Reserva Federal (FED) de Estados Unidos, llevado a cabo por el grupo de ransomware LockBit, ha suscitado preocupación en todo el mundo. Este grupo de ciberdelincuentes, conocido por sus avanzadas técnicas de ransomware, afirmó haber extraído 33 terabytes (TB) de datos sensibles. Aunque aún no han proporcionado una muestra de estos datos, la amenaza es clara y han fijado el plazo para el pago del rescate el 25 de junio de 2024.

LockBit, que ha ganado notoriedad por sus ataques sofisticados, ha puesto en una situación crítica a una de las instituciones financieras más importantes del planeta. Este grupo se especializa en infiltrarse en redes, cifrar datos y luego exigir un rescate a cambio de la clave de descifrado. En este caso, la Reserva Federal se enfrenta a la posibilidad de que una enorme cantidad de datos confidenciales pueda ser divulgada si no se cumplen las demandas del grupo.

El modus operandi de LockBit no solo incluye el cifrado de datos, sino también la extracción de información crítica. Esta estrategia aumenta la presión sobre las víctimas, quienes temen tanto la pérdida de acceso a sus datos como la posible exposición pública de información sensible. El ataque a la Reserva Federal no es solo una cuestión de seguridad nacional, sino también una potencial amenaza para la estabilidad económica global.

Las implicaciones de este ataque podrían ser vastas, ya que comprometer datos de una entidad tan crucial podría tener efectos en los mercados financieros y en la confianza en la seguridad de la información de las principales instituciones financieras. Este incidente subraya la importancia de fortalecer las medidas de ciberseguridad en todas las organizaciones, especialmente aquellas que juegan roles vitales en la infraestructura económica global.

Medidas y Respuesta

Actualmente, se están llevando a cabo investigaciones para determinar la magnitud del ataque y las posibles vías de mitigación. La Reserva Federal, junto con agencias de ciberseguridad y fuerzas del orden, están trabajando para evaluar el impacto y prevenir cualquier divulgación no autorizada de los datos comprometidos.

Este evento pone de relieve la constante amenaza de los ataques de ransomware y la necesidad de estrategias de defensa más robustas y proactivas. Además, resalta la urgencia de desarrollar planes de respuesta efectivos para incidentes de ciberseguridad, con el fin de proteger la integridad de los datos y la estabilidad de las instituciones clave.

En resumen, el ataque de LockBit a la Reserva Federal representa un desafío significativo para la seguridad cibernética global y subraya la necesidad de una vigilancia continua y mejoras en las defensas contra ciberataques.

Cripto Casino - Stake
Conoce Stake Cripto Casino

Fuente (s) :

Fuentes adicionales:

El FBI hace un llamado a las víctimas anteriores de los ataques del ransomware LockBit para que se presenten después de anunciar que ha recuperado más de 7.000 claves de descifrado, las cuales pueden ser utilizadas para recuperar los datos cifrados sin costo alguno.

Bryan Vorndran, Director Adjunto de la División Cibernética del FBI, hizo este anuncio el miércoles durante la Conferencia de Ciberseguridad de Boston 2024.

“Como resultado de nuestras acciones continuas contra LockBit, ahora tenemos en nuestro poder más de 7.000 claves de descifrado y estamos en posición de ayudar a las víctimas a recuperar sus datos y restablecer sus sistemas”, declaró Vorndran en su discurso.

“Estamos contactando a las víctimas conocidas de LockBit y alentando a cualquier persona que sospeche haber sido afectada a que visite nuestro Centro de Denuncias de Delitos en Internet en ic3.gov”.

Cripto Casino - Stake
Conoce Stake Cripto Casino

Este llamamiento se produce tras el desmantelamiento de la infraestructura de LockBit en febrero de 2024 en una operación internacional denominada “Operación Cronos”.

Durante esa operación, las fuerzas del orden incautaron 34 servidores que contenían más de 2.500 claves de descifrado, lo cual permitió la creación de un descifrador gratuito para el ransomware LockBit 3.0 Black.

Después de analizar los datos obtenidos, la Agencia Nacional contra el Crimen del Reino Unido y el Departamento de Justicia de Estados Unidos estiman que la organización y sus afiliados han recaudado hasta mil millones de dólares en rescates a través de 7.000 ataques dirigidos a organizaciones de todo el mundo entre junio de 2022 y febrero de 2024.

A pesar de los esfuerzos de las autoridades para desmantelar sus operaciones, LockBit continúa activo y ha migrado a nuevos servidores y dominios en la Dark Web.

Siguen atacando a víctimas globalmente y, en represalia por el reciente desmantelamiento de su infraestructura, han estado publicando grandes cantidades de datos robados, tanto antiguos como nuevos, en la dark web.

Recientemente, LockBit se atribuyó el ciberataque de abril de 2024 contra la cadena de farmacias canadiense London Drugs, después de otra operación policial que involucró al líder de la banda, un ciudadano ruso de 31 años llamado Dmitry Yuryevich Khoroshev, conocido en línea como “LockBitSupp”.

En los últimos años, varios responsables del ransomware LockBit han sido detenidos e imputados, incluyendo a Mikhail Vasiliev (noviembre de 2022), Ruslan Magomedovich Astamirov (junio de 2023), Mikhail Pavlovich Matveev alias Wazawaka (mayo de 2023), Artur Sungatov e Ivan Gennadievich Kondratiev alias Bassterlord (febrero de 2024).

El Departamento de Estado de EE.UU. ofrece ahora una recompensa de 10 millones de dólares por información que conduzca a la detención o condena de los líderes de LockBit y una recompensa adicional de 5 millones de dólares por pistas que lleven a la detención de los afiliados de LockBit.

Fuente (s) :

BingX exchange confiable de Criptomonedas

El Comienzo de LockBit

LockBit apareció por primera vez en la escena del ransomware en 2019, rápidamente ganando notoriedad por su eficacia y métodos innovadores. Se destacaba por su capacidad para infiltrarse en sistemas utilizando técnicas de ingeniería social y explotando vulnerabilidades de seguridad. Su modelo de negocio basado en Ransomware-as-a-Service (RaaS) permitió que se distribuyera ampliamente a través de afiliados, aumentando su alcance y frecuencia de ataques.

LockBit se caracterizó desde sus inicios por su capacidad de cifrado rápido, lo que minimizaba el tiempo necesario para que las víctimas respondieran antes de que el daño estuviera hecho. La nota de rescate de LockBit era particularmente intimidante, detallando claramente las consecuencias de no pagar el rescate, incluido el riesgo de que los datos robados se publicaran o vendieran en la web oscura.

Desarrollo y Evolución

A lo largo del tiempo, LockBit ha evolucionado constantemente. Los desarrolladores detrás de este ransomware han lanzado múltiples variantes, cada una más sofisticada que la anterior, para evadir las medidas de seguridad y maximizar el impacto de sus ataques. Entre las tácticas utilizadas, se destacan los correos electrónicos de phishing, sitios web maliciosos y la explotación de software desactualizado.

. Entre las tácticas utilizadas, se destacan los correos electrónicos de phishing, sitios web maliciosos y la explotación de software desactualizado.
. Entre las tácticas utilizadas, se destacan los correos electrónicos de phishing, sitios web maliciosos y la explotación de software desactualizado.

LockBit 2.0, lanzado en junio de 2021, introdujo varias mejoras, incluida la capacidad de atacar a sistemas que no eran inicialmente vulnerables a la primera versión del ransomware. Esta versión también mejoró el modelo de doble extorsión, donde no solo se exigía un rescate para descifrar los datos, sino que también se amenazaba con publicar los datos robados si no se pagaba.

El ransomware LockBit se propagó eficazmente gracias a su modelo de afiliación. Este modelo permitía a otros ciberdelincuentes utilizar el ransomware a cambio de una parte del rescate, lo que significó que la amenaza se diseminó rápidamente a través de múltiples atacantes, aumentando el número de víctimas.

Consecuencias y Estrategias de Mitigación

Las consecuencias de un ataque de LockBit pueden ser devastadoras para cualquier organización. Además de la pérdida de datos críticos, las empresas pueden enfrentar interrupciones operativas significativas, daños a su reputación y costos financieros elevados. Los ataques también pueden llevar a investigaciones legales y regulatorias, especialmente si se comprometen datos sensibles de clientes o empleados.

Para mitigar estos riesgos, las organizaciones deben adoptar políticas de seguridad robustas, que incluyan:

  • Capacitación en Ciberseguridad: Educar a los empleados sobre las tácticas de phishing y otras técnicas de ingeniería social.
  • Actualizaciones de Software: Mantener todo el software y los sistemas operativos actualizados para cerrar las vulnerabilidades conocidas.
  • Copias de Seguridad Regulares: Implementar un sistema de copias de seguridad regular y mantener estas copias en ubicaciones seguras y fuera de línea.
  • Soluciones Avanzadas de Seguridad: Utilizar soluciones de seguridad informática avanzadas, como antivirus, firewalls, y sistemas de detección y prevención de intrusiones.
  • Plan de Respuesta a Incidentes: Tener un plan de respuesta a incidentes bien definido que incluya la coordinación con las fuerzas del orden y las agencias de ciberseguridad.
LockBit sigue siendo una amenaza activa, los esfuerzos globales de las fuerzas del orden y las mejoras en las medidas de ciberseguridad han comenzado a limitar su alcance.
LockBit sigue siendo una amenaza activa, los esfuerzos globales de las fuerzas del orden y las mejoras en las medidas de ciberseguridad han comenzado a limitar su alcance.

El Fin de LockBit

Aunque LockBit sigue siendo una amenaza activa, los esfuerzos globales de las fuerzas del orden y las mejoras en las medidas de ciberseguridad han comenzado a limitar su alcance. En un desarrollo significativo, las agencias de seguridad identificaron y sancionaron al administrador del ransomware LockBit, como se reportó el 8 de Mayo cuando Agencias de seguridad identifican y sancionan al administrador del ransomware LockBit . Este golpe a la estructura organizativa de LockBit representa un paso importante en la lucha contra el ransomware.

(UK National Crime Agency) y Europol han revelado la identidad de Dmitry Yuryevich Khoroshev, un ciudadano ruso de 31 años originario de Voronezh, como el administrador y desarrollador principal de la operación de ransomware LockBit, conocido también como ‘LockBitSupp’ y ‘putinkrab’
(UK National Crime Agency) y Europol han revelado la identidad de Dmitry Yuryevich Khoroshev, un ciudadano ruso de 31 años originario de Voronezh, como el administrador y desarrollador principal de la operación de ransomware LockBit, conocido también como ‘LockBitSupp’ y ‘putinkrab’

Varias operaciones policiales han logrado desmantelar algunas de las infraestructuras utilizadas por los afiliados de LockBit, y las organizaciones están mejorando continuamente sus defensas contra este tipo de ataques. Sin embargo, como con cualquier amenaza cibernética, la lucha está lejos de terminar. Los desarrolladores de LockBit y otros grupos de ransomware están constantemente buscando nuevas formas de evadir las defensas de ciberseguridad. Las organizaciones deben permanecer vigilantes y preparadas para adaptarse a las nuevas tácticas que los ciberdelincuentes puedan desarrollar.

 LockBit ha demostrado ser uno de los ransomware más persistentes y destructivos de los últimos años.
LockBit ha demostrado ser uno de los ransomware más persistentes y destructivos de los últimos años.

En resumen, LockBit ha demostrado ser uno de los ransomware más persistentes y destructivos de los últimos años. Su capacidad para evolucionar y adaptarse lo mantiene como una amenaza significativa. La prevención, la conciencia de seguridad y las medidas de respuesta eficaces son fundamentales para protegerse contra este tipo de amenazas cibernéticas.

BingX exchange confiable de Criptomonedas

El FBI, la Agencia Nacional de Crimen del Reino Unido (UK National Crime Agency) y Europol han revelado la identidad de Dmitry Yuryevich Khoroshev, un ciudadano ruso de 31 años originario de Voronezh, como el administrador y desarrollador principal de la operación de ransomware LockBit, conocido también como ‘LockBitSupp’ y ‘putinkrab’. Por primera vez, se ha identificado públicamente al líder de este notorio grupo criminal.

Las autoridades han impuesto sanciones a Khoroshev, incluyendo congelación de activos y prohibiciones de viaje, anunciadas conjuntamente por el Departamento de Tesorería de los Estados Unidos y el Departamento de Asuntos Exteriores de Australia, entre otros. Khoroshev, quien valoraba el anonimato y llegó a ofrecer una recompensa de 10 millones de dólares por información sobre su identidad, ahora enfrenta restricciones significativas.

La información obtenida de los sistemas del grupo revela que desde junio de 2022 hasta febrero de 2024, se orquestaron más de 7,000 ataques, afectando principalmente a países como EE. UU., Reino Unido, Francia, Alemania y China. Los ataques se centraron especialmente en más de 100 hospitales y empresas de salud, sumando al menos 2,110 víctimas.

BingX exchange confiable de Criptomonedas

A pesar de intentos por reconstruir su red en febrero, una operación de cumplimiento de la ley internacional afectó significativamente a LockBit. Desde la intervención, los ataques en el Reino Unido han disminuido un 73%, con reducciones similares en otros países. La investigación también proporcionó detalles sobre la estructura y la red del grupo, identificando a 194 afiliados que usaron los servicios de LockBit hasta febrero de 2024, de los cuales 148 planificaron ataques y 119 negociaron con las víctimas, aunque 39 de estos últimos nunca recibieron un pago de rescate.

El director general de la NCA, Graeme Biggar, destacó la importancia de las sanciones y afirmó que no hay escondite para cibercriminales como Khoroshev. La investigación sobre LockBit continúa, y ahora se enfoca también en los afiliados que han utilizado los servicios del grupo para lanzar ataques devastadores de ransomware contra escuelas, hospitales y grandes empresas en todo el mundo.

Europol ha facilitado más de 2,500 claves de descifrado y está en contacto con las víctimas de LockBit para ofrecer asistencia. Con el apoyo de Europol, agencias como la Policía Japonesa, la NCA y el FBI han desarrollado herramientas de descifrado para recuperar archivos cifrados por el ransomware LockBit, ahora disponibles gratuitamente en el portal No More Ransom en 37 idiomas.


Fuente (s) :

BingX exchange confiable de Criptomonedas

Las fuerzas del orden proporcionaron detalles adicionales sobre la Operación Cronos internacional que provocó la interrupción de la operación del ransomware Lockbit.

Ayer, una acción policial conjunta, denominada Operación Cronos, llevada a cabo por agencias policiales de 11 países interrumpió la operación del ransomware LockBit.

A continuación se muestra la imagen del sitio de filtración de Tor de la banda de ransomware Lockbit que fue incautada por la Agencia Nacional contra el Crimen (NCA) del Reino Unido.

Operación Cronos, acción legal llevada a cabo por agencias policiales de 11 países, ha interrumpido la operación del ransomware LockBit.
Operación Cronos, acción legal llevada a cabo por agencias policiales de 11 países, ha interrumpido la operación del ransomware LockBit.

“El sitio ahora está bajo el control de las autoridades. Este sitio ahora está bajo el control de la Agencia Nacional contra el Crimen del Reino Unido, que trabaja en estrecha cooperación con el FBI y el grupo de trabajo internacional de aplicación de la ley, ‘Operación Cronos’”, se lee en el cartel.

“Podemos confirmar que los servicios de Lockbit se han visto interrumpidos como resultado de la acción de las autoridades internacionales; esta es una operación en curso y en desarrollo. Regrese aquí para obtener más información a las: 11:30 GMT del martes 20 de febrero”
La operación Operación Cronos aún está en curso y la NCA anunció que aún no se ha compartido más información.

“El sitio ahora está bajo el control de las autoridades. Este sitio ahora está bajo el control de la Agencia Nacional contra el Crimen del Reino Unido, trabajando en estrecha cooperación con el FBI y el grupo de trabajo internacional de aplicación de la ley, Operación Cronos”, dice el cartel.

Operación Policiaca de Interrpol, Europol y más de 10 paises operaron para desmantelar la pandilla cibernetica de Lockbit Ransomware
Operación Policiaca de Interrpol, Europol y más de 10 paises operaron para desmantelar la pandilla cibernetica de Lockbit Ransomware

“Podemos confirmar que los servicios de Lockbit se han visto interrumpidos como resultado de la acción de las autoridades internacionales; esta es una operación en curso y en desarrollo”.

Los investigadores de vx-underground se pusieron en contacto con los administradores de la pandilla, quienes confirmaron que el FBI se había apoderado de su infraestructura.

BingX exchange confiable de Criptomonedas

La operación condujo al arresto de dos miembros de la banda de ransomware en Polonia y Ucrania y a la incautación de cientos de carteras criptográficas utilizadas por el grupo.

La NCA británica tomó el control del entorno de administración central de LockBit utilizado por los afiliados de RaaS para llevar a cabo los ciberataques. Las autoridades también se apoderaron del sitio de filtración Tor de la web oscura utilizado por el grupo.

La NCA se apoderó del sitio de filtración de Tor y ahora se utiliza para publicar actualizaciones sobre la operación policial y brindar apoyo a las víctimas de la pandilla.

La NCA también obtuvo el código fuente de la plataforma LockBit y una enorme cantidad de información sobre el funcionamiento del grupo, incluida información sobre afiliados y seguidores.

Las fuerzas del orden también tuvieron acceso a los datos robados a las víctimas de la operación de ransomware, una circunstancia que resalta el hecho de que incluso cuando se paga un rescate, la banda de ransomware a menudo no elimina la información robada.

“LockBit tenía una herramienta de filtración de datos personalizada, conocida como Stealbit, que los afiliados utilizaban para robar datos de las víctimas. En las últimas 12 horas, miembros del grupo de trabajo Op Cronos se han apoderado de esta infraestructura, con sede en tres países, y también han sido desactivados 28 servidores pertenecientes a afiliados de LockBit”. lee el anuncio de la NCA. “La infiltración técnica y la interrupción son sólo el comienzo de una serie de acciones contra LockBit y sus afiliados. En una acción más amplia coordinada por Europol, dos actores de LockBit fueron arrestados esta mañana en Polonia y Ucrania, y se congelaron más de 200 cuentas de criptomonedas vinculadas al grupo”.

El Departamento de Justicia de EE. UU. acusó a dos personas de orquestar ataques de ransomware utilizando el ransomware LockBit. Actualmente se encuentran bajo custodia y serán juzgados en EE. UU.

“El Departamento de Justicia también reveló una acusación obtenida en el Distrito de Nueva Jersey acusando a los ciudadanos rusos Artur Sungatov e Ivan Kondratyev, también conocidos como Bassterlord, de implementar LockBit contra numerosas víctimas en todo Estados Unidos, incluidas empresas de todo el país en la industria manufacturera y otras industrias. así como víctimas en todo el mundo en la industria de semiconductores y otras industrias. Hoy, se revelaron cargos penales adicionales contra Kondratyev en el Distrito Norte de California relacionados con su implementación en 2020 de ransomware contra una víctima ubicada en California”. lee el comunicado de prensa publicado por el Departamento de Justicia.
“Finalmente, el Departamento también reveló dos órdenes de registro emitidas en el Distrito de Nueva Jersey que autorizaban al FBI a interrumpir múltiples servidores con sede en EE. UU. utilizados por miembros de LockBit en relación con la interrupción de LockBit”.

Además, las autoridades estadounidenses han presentado acusaciones contra dos ciudadanos rusos, acusándolos de conspirar para llevar a cabo ataques LockBit.

La NCA y sus socios globales han obtenido más de 1000 claves de descifrado que permitirán a las víctimas de la pandilla recuperar sus archivos de forma gratuita. La NCA se comunicará con las víctimas radicadas en el Reino Unido en los próximos días y semanas, brindándoles apoyo para ayudarlas a recuperar datos cifrados.

“Esta investigación dirigida por la NCA es una interrupción innovadora del grupo de delitos cibernéticos más dañino del mundo. Demuestra que ninguna operación criminal, dondequiera que esté y por muy avanzada que sea, está fuera del alcance de la Agencia y nuestros socios”. dijo el director general de la Agencia Nacional contra el Crimen, Graeme Biggar.

“A través de nuestra estrecha colaboración, hemos pirateado a los piratas informáticos; tomó el control de su infraestructura, se apoderó de su código fuente y obtuvo claves que ayudarán a las víctimas a descifrar sus sistemas”.

“A partir de hoy, LockBit está bloqueado. Hemos dañado la capacidad y, más notablemente, la credibilidad de un grupo que dependía del secreto y el anonimato.

La ley proporciona más información de Operación Cronos - Desmantelamiento de la pandilla cibernética de Lockbit Ransomware
La ley proporciona más información de Operación Cronos – Desmantelamiento de la pandilla cibernética de Lockbit Ransomware

“Nuestro trabajo no termina aquí. LockBit puede intentar reconstruir su empresa criminal. Sin embargo, sabemos quiénes son y cómo operan. Somos tenaces y no cejaremos en nuestros esfuerzos para atacar a este grupo y a cualquiera asociado con él”.
El descifrador gratuito del ransomware Lockbit se puede descargar desde el sitio web de la iniciativa “No More Ransom”. No está claro a qué versión del ransomware se dirige el descifrador.

LockBit es una importante operación de ransomware que surgió por primera vez en septiembre de 2019. En 2022, LockBit fue uno de los grupos de ransomware más activos y su prevalencia continuó hasta 2023. Desde enero de 2020, los afiliados que utilizan LockBit se han dirigido a organizaciones de diversos tamaños que abarcan sectores de infraestructura crítica. tales como servicios financieros, alimentación y agricultura, educación, energía, servicios gubernamentales y de emergencia, atención médica, manufactura y transporte. La operación de ransomware LockBit operó bajo un modelo de Ransomware como servicio (RaaS), reclutando afiliados para llevar a cabo ataques de ransomware mediante la utilización de herramientas e infraestructura de ransomware LockBit.

Según un informe conjunto publicado por autoridades estadounidenses y pares internacionales, el total de rescates pagados a LockBit en Estados Unidos es de aproximadamente 91 millones de dólares desde que se observó por primera vez la actividad de LockBit en Estados Unidos el 5 de enero de 2020.

Fuente (s) :

Cripto Casino - Stake
Conoce Stake Cripto Casino

Una acción policial conjunta, denominada Operación Cronos, llevada a cabo por agencias policiales de 11 países ha interrumpido la operación del ransomware LockBit.

acción policial conjunta, denominada Operación Cronos, llevada a cabo por agencias policiales de 11 países ha interrumpido la operación del ransomware LockBit

A continuación se muestra la imagen del sitio de filtración de Tor de la banda de ransomware Lockbit que fue incautada por la Agencia Nacional contra el Crimen (NCA) del Reino Unido.

Cripto Casino - Stake
Conoce Stake Cripto Casino

“The site is now under the control of law enforcement. This site is now under the control of The National Crime Agency of the UK, working in close cooperation with the FBI and the international law enforcement task force, ‘Operation Cronos’,” reads the banner.

“We can confirm that Lockbit’s services have been disrupted as a result of International Law Enforcement action – this is an ongoing and developing operation. Return here for more information at: 11:30 GMT on Tuesday 20th Feb”

The Operation Cronos operation is still ongoing and NCA’s announced that more information will be published tomorrow, February 20, 2024.

BingX exchange confiable de Criptomonedas

“El sitio ahora está bajo el control de las autoridades. Este sitio ahora está bajo el control de la Agencia Nacional contra el Crimen del Reino Unido, trabajando en estrecha cooperación con el FBI y el grupo de trabajo internacional de aplicación de la ley, Operación Cronos”, dice el cartel.

“Podemos confirmar que los servicios de Lockbit se han visto interrumpidos como resultado de la acción de las autoridades internacionales; esta es una operación en curso y en desarrollo”.

Los investigadores de vx-underground se pusieron en contacto con los administradores de la pandilla, quienes confirmaron que el FBI se había apoderado de su infraestructura.

LockBit es una importante operación de ransomware que surgió por primera vez en septiembre de 2019. En 2022, LockBit fue uno de los grupos de ransomware más activos y su prevalencia continuó hasta 2023. Desde enero de 2020, los afiliados que utilizan LockBit se han dirigido a organizaciones de diversos tamaños que abarcan sectores de infraestructura crítica. tales como servicios financieros, alimentación y agricultura, educación, energía, servicios gubernamentales y de emergencia, atención médica, manufactura y transporte. La operación de ransomware LockBit operó bajo un modelo de Ransomware como servicio (RaaS), reclutando afiliados para llevar a cabo ataques de ransomware mediante la utilización de herramientas e infraestructura de ransomware LockBit.


Según un informe conjunto publicado por autoridades estadounidenses y pares internacionales, el total de rescates pagados a LockBit en Estados Unidos es de aproximadamente 91 millones de dólares desde que se observó por primera vez la actividad de LockBit en Estados Unidos el 5 de enero de 2020.

Fuente (s) :

Cripto Casino - Stake
Conoce Stake Cripto Casino

El fabricante de productos electrónicos Foxconn ha confirmado que una de sus plantas de producción con sede en México se ha visto afectada por un ataque de ransomware a finales de mayo. La compañía no proporcionó ninguna información sobre el grupo responsable del ataque, pero los operadores de la banda de ransomware LockBit se atribuyeron la responsabilidad. Foxconn opera tres instalaciones en México, que producen computadoras, televisores LCD, dispositivos móviles y decodificadores, anteriormente utilizados por Sony, Motorola y Cisco Systems.

La fábrica atacada de Foxconn está ubicada en Tijuana, México, y se considera una instalación estratégica que actúa como un centro de suministro crítico para el estado estadounidense de California, un importante consumidor de productos electrónicos.

En un comunicado, Foxconn aseguró que el impacto en sus operaciones generales será mínimo y que la recuperación se desarrollará de acuerdo con un plan predeterminado. Un portavoz de la compañía proporcionó el siguiente comentario:

“Se confirma que una de nuestras fábricas en México experimentó un ciberataque de ransomware a finales de mayo. El equipo de ciberseguridad de la empresa viene realizando el plan de recuperación correspondiente.

La fábrica está volviendo poco a poco a la normalidad. La interrupción causada a las operaciones comerciales se manejará mediante el ajuste de la capacidad de producción. Se estima que el ataque de ciberseguridad tendrá poco impacto en las operaciones generales del Grupo. La información relevante sobre el incidente también se proporciona instantáneamente a nuestra gerencia, clientes y proveedores». – Foxconn

La operación de ransomware LockBit reclamó el ataque el 31 de mayo al publicar una amenaza de filtrar datos robados de Foxconn a menos que se pague un rescate antes del 11 de junio.

Imagen captura sitio web onion de LockBit reclamando a Foxconn como víctima 

Esto significa que las negociaciones pueden no haber terminado por completo y los ciberdelincuentes aún esperan llegar a un acuerdo con la empresa. Las demandas de LockBit siguen siendo desconocidas en este momento, pero es probable que sean bastante grandes, dado que la pandilla generalmente se enfoca en compañías exitosas que pueden pagar rescates más grandes.

El atacante no ha dado ninguna pista sobre los datos que posee, pero por lo general buscan filtrar información valiosa que podría usarse como palanca para que la víctima pague.

Dado que Foxconn produce varios productos electrónicos de consumo para muchas marcas, LockBit puede contener esquemas y dibujos técnicos valiosos que constituyen propiedad intelectual compartida en virtud de acuerdos de confidencialidad.

La fábrica de Foxconn en Tijuana es la segunda afectada por un ataque de ransomware en menos de dos años. En diciembre de 2020, el grupo de ransomware DoppelPaymer anunció que golpeó las instalaciones de CTBG MX de la compañía en Ciudad Juárez.

Los atacantes pidieron un rescate de 34 millones de dólares y afirmaron haber robado 100 GB de datos, cifrado entre 1200 y 1400 servidores y destruido de 20 a 30 TB de datos de copia de seguridad.

Fuente (s) :

El ransomware LockBit es una de las grandes amenazas actuales. Actualmente es el grupo con más víctimas públicas y con diferencia. Además está considerado el más rápido del mundo, puede cifrar 53 GB de datos en solo 4 minutos. En un informe realizado por la plataforma de analítica de datos Splunk, en el que analizaron los ransomware actuales más peligrosos sobre víctimas en Windows 10 y Windows Server 2019, la mejor marca ha sido para una muestra de LockBit 2.0, que ha tardado 4 minutos y 9 segundo para cifrar 53 GB de datos en todo tipo de formatos: PDF, Word, fotos, vídeos, etc.

Después de 400 ejecuciones de ransomware, los tiempos que tardaban en cifrar datos procedentes de 98.561 archivos han dejado constancia de las diferencias en los tiempos para completarlo. 

   Sin embargo, de media, el resto de muestras de la misma familia tampoco es que hayan tardado mucho más, ya que el tiempo que han necesitado es de 5 minutos y 50 segundos.

Pero, después de LockBit, el segundo ransomware más rápido es el de la familia Babuk, que ha tardado una media de 6 minutos y 34 segundos para cifrar la misma cantidad de datos. En tercer lugar se ha situado Avaddon, cuyo promedio de tiempo ha sido de 13 minutos y 15 segundos. 

   De todas las familias de ransomware analizadas, Mespinoza ha sido la que más ha tardado en llevar a cabo el secuestro de estos datos, con un tiempo de una hora, 54 minutos y 54 segundos.

LockBit 2.0 y el uso de las políticas de grupo en Windows

Una de las familias de ransomware como servicio más populares, observada por primera vez en septiembre de 2019, y que ha tenido cierto protagonismo afectando a sistemas de control industrial lanza ahora una nueva versión. Recordemos que la primera versión 1.0 contenía un bug con el cuál se podían descifrar los archivos, no así en la versión 2.0

Después de que las temáticas relacionadas con el ransomware fueran prohibidas en algunos de los principales foros usados por los ciberdelincuentes para evitar atraer la atención de las autoridades, algunos grupos como LockBit empezaron a promocionar su servicio en busca de afiliados en las webs que tienen preparadas para filtrar los datos que roban de las empresas a las que atacan.

LockBit 2.0 está promocionando sus características entre aquellos delincuentes que quieran formar parte de este esquema criminal para repartirse los beneficios. Este tipo de grupos se encarga de desarrollar el malware y de proporcionar soporte a los criminales que lo utilicen para cifrar los datos de sus víctimas. Cuando las víctimas pagan el rescate, este se reparte entre los afiliados encargados de acceder a las redes corporativas, robar la información y cifrarla y los desarrolladores del malware.

Normalmente, cuando los delincuentes acceden a una red corporativa y consiguen hacerse con el controlador del dominio, estos suelen utilizar software de terceros para desplegar scripts que tratan de desactivar el software antivirus que esté instalado, y así evitar que la ejecución del ransomware sea detectada y bloqueada.

Sin embargo, en las nuevas muestras detectadas se observa una automatización de este proceso mediante el cual el ransomware se distribuye de forma automática por la red corporativa cuando se ejecuta en un controlador de dominio. Para conseguirlo, el ransomware genera una nueva política de grupo en el controlador del dominio que luego es enviada a todos los dispositivos de la red.

powershell.exe -Command “Get-ADComputer -filter * -Searchbase ‘%s’ | foreach{ Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 0}”

Imprimir la nota de rescate

Además, esta nueva versión de LockBit también incluye una interesante funcionalidad (vista anteriormente en otras muestras de ransomware como Egregor) que consiste en la impresión de las notas de rescate en todas las impresoras de red que estén conectadas para así llamar la atención de las víctimas.

Condiciones para los “socios” de LockBit 2.0

LockBit dice que es el ransomware más rápido cifrando

Y el más rápido exfiltrando información:

Cómo funciona LockBit

La capacidad y peligrosidad de LockBit ha ido in crescendo desde su aparición en septiembre 2019 y funciona como ransomware como servicio (RaaS) en el que se contratan ataques en un marco de afiliados. Posteriormente, el rescate obtenido por el secuestro de datos se reparte entre el equipo de desarrolladores de LockBit y los atacantes afiliados, que reciben hasta tres cuartas partes de los fondos conseguidos.

Las autoridades consideran que el ransomware LockBit forma parte de la familia de malware “LockerGoga & MegaCortex“. Esto simplemente significa que comparte comportamientos con estas formas establecidas de ransomware dirigido. Como explicación rápida, entendemos que estos ataques son:

  • Autodifusión dentro de una organización en lugar de requerir un direccionamiento manual.
  • Dirigido, en lugar de propagarse de forma dispersa como el malware de spam.
  • Usando herramientas similares para propagarse, como Windows Powershell y Server Message Block (SMB).

Lo más significativo es su capacidad de autopropagación, lo que significa que se propaga por sí solo. En su programación, LockBit está dirigido por procesos automatizados prediseñados. Esto lo hace único de muchos otros ataques de ransomware que son impulsados ​​​​de forma manual en la red, a veces durante semanas, para completar el reconocimiento y la vigilancia.

De esta forma, tras explorar las debilidades de una red, consigue infiltrarse realizando toda la actividad automáticamente y desactiva los programas de seguridad. Una vez conseguido, implementa la carga de cifrado. Las víctimas solo podrán recuperar esa información y desbloquear los sistemas si pagan el rescate solicitado para obtener la clave de acceso.

Después de que el atacante haya infectado manualmente un solo host, puede encontrar otros hosts accesibles, conectarlos a los infectados y compartir la infección mediante un script. Esto se completa y repite completamente sin intervención humana.

Además, utiliza herramientas en patrones que son nativos de casi todos los sistemas informáticos de Windows. Los sistemas de seguridad de puntos finales tienen dificultades para marcar actividades maliciosas. También oculta el archivo de cifrado ejecutable al disfrazarlo como el formato de archivo de imagen común .PNG, engañando aún más las defensas del sistema.

Etapas de los ataques de LockBit

Los ataques de LockBit se pueden entender en aproximadamente tres etapas:Etapa 1: Explotar las debilidades en una red. La brecha inicial se parece mucho a otros ataques maliciosos. Una organización puede ser explotada por tácticas de ingeniería social como el phishing, en el que los atacantes se hacen pasar por personal o autoridades de confianza para solicitar credenciales de acceso. Igualmente viable es el uso de ataques de fuerza bruta en los servidores de intranet y sistemas de red de una organización. Sin una configuración de red adecuada, las pruebas de ataque pueden tardar solo unos días en completarse. Una vez que LockBit se ha “parado” en una red, el ransomware prepara el sistema para liberar su carga útil de cifrado en todos los dispositivos que pueda. Sin embargo, es posible que un atacante deba asegurarse de que se completen algunos pasos adicionales antes de que pueda realizar su movimiento final.Etapa 2: infiltrar. Infíltrarse más profundo para completar la configuración del ataque si es necesario. A partir de este momento, el programa LockBit dirige todas las actividades de forma independiente. Está programado para usar herramientas de “post-explotación” para obtener escalamiento de privilegios.Es en esta etapa que LockBit toma las medidas necesarias para su funcionamiento. Esto incluye deshabilitar los programas de seguridad y cualquier otra infraestructura que pueda permitir la recuperación del sistema. El objetivo es hacer que la recuperación sin asistencia sea imposible o lo suficientemente lenta como para que sucumbir al rescate del atacante sea la única solución práctica. Cuando la víctima está desesperada por que las operaciones vuelvan a la normalidad, es cuando pagará la tarifa del rescate.Etapa 3: cifrado. Una vez que la red se haya preparado para que LockBit se movilice por completo, el ransomware comienza su propagación a través de cualquier máquina que pueda tocar. Como se indicó anteriormente, LockBit no necesita mucho para completar esta etapa. Una sola unidad del sistema con alto acceso puede enviar comandos a otras unidades de la red para descargar LockBit y ejecutarlo   

El cifrado “bloquea” todos los archivos del sistema. Las víctimas solo pueden desbloquear sus sistemas a través de una clave personalizada creada por la herramienta de descifrado de LockBit. El proceso también deja copias de un archivo de texto de nota de rescate simple en cada carpeta del sistema. Proporciona a la víctima instrucciones para restaurar su sistema e incluso ha incluido amenazas de chantaje en algunas versiones de LockBit.

Después de que los atacantes obtienen acceso a la red y alcanzan el controlador de dominio, ejecutan su malware en él, creando nuevas políticas de grupo de usuarios, que luego se envían automáticamente a cada dispositivo en la red. Las políticas primero deshabilitan la tecnología de seguridad integrada del sistema operativo. Luego, otras políticas crean una tarea programada en todas las máquinas con Windows para ejecutar el ejecutable del ransomware. 

 Este ransomware usa la API de Windows Active Directory para realizar consultas LDAP para obtener una lista de computadoras. LockBit 2.0 luego pasa por alto el Control de cuentas de usuario (UAC) y se ejecuta en silencio, sin activar ninguna alerta en el dispositivo que se está cifrando.

Aparentemente, esto representa la primera propagación de malware de mercado masivo a través de políticas de grupos de usuarios. Además, LockBit 2.0 entrega notas de rescate de manera bastante caprichosa, imprimiendo la nota en todas las impresoras conectadas a la red.

Diferentes versiones de LockBit

Detectar las variantes de LockBit puede ayudar a identificar exactamente a lo que se enfrenta.

  • Variante 1 – extensión “.abcd”. La versión original de LockBit cambia el nombre de los archivos con el nombre de extensión “.abcd”. Además, incluye una nota de rescate con demandas e instrucciones para supuestas restauraciones en el archivo “Restore-My-Files.txt” y en cada carpeta afectada.
  • Variante 2 – Extensión “.LockBit”. La segunda versión conocida de este ransomware adoptó la extensión de archivo “.LockBit”, dándole el nombre actual. Sin embargo, las víctimas encontrarán que otras características de esta versión parecen en su mayoría idénticas a pesar de algunas revisiones del back-end.
  • Variante 3 – LockBit versión 2.0. Esta versión ya no requiere descargar el navegador Tor con sus instrucciones de rescate. En cambio, envía a las víctimas a un sitio web alternativo a través del acceso a la web tradicional. Recientemente, ha mejorado con características más nefastas, como la negación de acceso a equipos con permisos administrativos; desactivar las indicaciones de seguridad que los usuarios pueden ver cuando una aplicación intenta ejecutarse como administrador.

Además, el malware ahora está configurado para robar copias de los datos del servidor e incluye líneas adicionales de chantaje incluidas en la nota de rescate. En caso de que la víctima no siga las instrucciones, LockBit ahora amenaza con la divulgación pública de los datos privados de la víctima (doble extorsión). 

Mejores prácticas

Dada su persistencia, velocidad de propagación y métodos de intrusión, es probable que LockBit 2.0 cause un daño significativo a sus víctimas, ya sea financiero o de reputación. Estas son algunas de las mejores prácticas de los marcos establecidos por el Centro de Seguridad de Internet y el Instituto Nacional de Estándares y Tecnología (NIST) que pueden ayudar a las organizaciones a prevenir y mitigar el impacto de los ataques que involucran ransomware como LockBit 2.0.


Fuente (s) :