Los ataques de ransomware se han convertido en uno de los problemas de seguridad informática más preocupantes de la actualidad. En los últimos años, grupos como Ryuk, REvil, SynAck y LockBit ha cosechado millones de dólares tras infectar a ordenadores en todas partes del mundo. Ahora, estos últimos están de regreso con la versión 2.0 de su malware, que emplea nuevas funciones para ser una amenaza infalible.
El ransomware LockBit apareció por primera vez en 2019, pero el grupo que está detrás de él ha agregado nuevas herramientas para eludir medidas de seguridad y publicidad para reclutar a nuevos afiliados que, en definitiva, son los encargados de realizar la intrusión real en los sistemas de las víctimas. Por lo general, a través de protocolos de acceso de escritorio remoto, para secuestrar sus archivos y pedir una recompensa a cambio.
Una de las victimas más recientes de Lockbit 2.0 ha sido la consultora internacional Accenture. Los atacantes lograron vulnerar algunos de sus sistemas y robar información interna de clientes el 30 de julio. Según la compañía, lograron contener el problema y aislar a los equipos afectados. Los atacantes, por su parte, dijeron haber extraído 6 TB de datos y solicitaron un rescate de 50 millones de dólares a cambio de no publicar la información.
Accenture, es solo una de las víctimas de LockBit
Como sucedió con Accenture, se han detectado numerosas intrusiones Lockbit 2.0 a diferentes compañías. Precisamente apuntan a las corporaciones porque los delincuentes tienen más posibilidades de ganar dinero con los rescates de información. Los investigadores de ciberseguridad de Trend Micro han advertido de un aumento en las campañas de este ransomware desde julio de 2021.
Entonces, ¿por qué Lockbit está teniendo más éxito ahora que en sus inicios? Esto puede deberse, principalmente, a dos factores. Por un lado, la aparente desaparición de grupos como REvil y Darkside. Como los ataques de ransomware son un "negocio" lucrativo —y claramente ilícito—, los afiliados que infectan a las víctimas y buscan ganar un porcentaje de los rescates han recurrido a otros operadores de malware.
Por otra parte, los ciberdelincuentes de este ascendente ransomware han lanzado Lockbit 2.0, una versión que incluye el cifrado automático de dispositivos en todos los dominios de Windows al alterar las políticas de grupo de Active Directory (AD). Esto lo convierte en uno de los métodos de ataque más rápidos de la actualidad, dejando poco margen de maniobra para repeler la amenaza.
¿Cómo el ransomware LockBit 2.0 infecta a los ordenadores?
En términos generales, en primer lugar, los creadores de LockBit 2.0 reclutan a afiliados, que son los que realizan la intrusión en los sistemas de las víctimas. Estos actores son de vital importancia para el funcionamiento del ransomware, ya que son los que cuentan con las credenciales de cuenta de protocolo de escritorio remoto (RDP) válidas para atacar a las compañías objetivo.
Una vez dentro del sistema, LockBit 2.0 proporciona a los atacantes una amplia variedad de herramientas. Estas van desde un análisis de la infraestructura de red hasta la cancelación de mecanismos de seguridad que impidan la ejecución del plan. LockBit 2.0 puede crear nuevos políticas de grupo y replicarlas en todos los dispositivos de la red identificada previamente. Cifra los archivos y coloca un advertencia de rescate como fondo de pantalla de que serán publicados si no se paga.