Un aviso conjunto de ciberseguridad advierte de la amenaza del ransomware LockBit
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA), el FBI, el Centro Multiestatal de Análisis e Intercambio de Información (MS-ISAC) y las autoridades de ciberseguridad de Australia, Canadá, Reino Unido, Alemania, Francia y Nueva Zelanda han emitido un aviso de ciberseguridad en relación con el ransomware LockBit.
El aviso conjunto, titulado "Understanding Ransomware Threat Actors: LockBit", incluye una lista de unas 30 tecnologías gratuitas y de código abierto utilizadas con frecuencia por los autores de LockBit. También describe más de 40 tácticas, métodos y procedimientos (TTP) utilizados por los actores de LockBit, asignándolos a la reconocida metodología ATT&CK de MITRE, así como vulnerabilidades y exposiciones (CVE) comúnmente explotadas.
La advertencia contiene información sobre el progreso de LockBit RaaS (Ransomware as a Service), así como tendencias y datos mundiales. Proporciona una variedad de herramientas y servicios accesibles desde las agencias autoras, así como mitigaciones aconsejadas para mejorar las defensas contra las operaciones globales de LockBit. Además, confirma los hallazgos de Malwarebytes, identificando a LockBit como el operador más activo de Ransomware-as-a-Service. Las evaluaciones periódicas de Malwarebytes Ransomware Reviews suelen situar a LockBit como la principal amenaza en términos de número de víctimas, aunque Cl0p aparece como un rival cercano.
Según el aviso, LockBit ha sido uno de los grupos de ransomware más activos en los últimos meses. En 2022, fue responsable de más del 18% del total de incidentes de ransomware notificados en Australia, el 22% en Canadá y el 23% en Nueva Zelanda. En Estados Unidos, LockBit estuvo involucrado en el 16 % de los ataques a servicios críticos, incluidos gobiernos municipales y de condados, educación superior pública, escuelas K-12 y agencias policiales.
Por lo tanto, existen variaciones significativas en las tácticas, métodos y procedimientos (TTP) utilizados por los afiliados de LockBit como resultado de su naturaleza descentralizada y desconectada. Esta heterogeneidad es un reto importante para las empresas que intentan mantener una seguridad de red eficaz y protegerse contra la amenaza multidimensional de ransomware que supone LockBit. El aviso también se sumerge en la compleja mecánica de la confianza dentro del paradigma RaaS. Trabajar con delincuentes anónimos requiere un alto nivel de confianza mutua, lo que puede explicar por qué otros operadores de RaaS, como DarkSide y Avaddon, han cerrado.
Las fuentes de este artículo incluyen un artículo de Malwarebytes.