RaaS LockBit 3.0 va a quedarse por mucho tiempo.

Escrito por Sergio Maestre

Hoy en día se registra un ataque de ransomware cada 10 segundos, pero para el año 2031 se estima que cada 2 segundos compañía del mundo pudieran comprometerse por un ransomware.

¿Qué es un RaaS?

El mejor concepto de Ransomware as a service (RaaS) es que es un modelo de negocio basado en suscripción que permite a los afiliados usar herramientas de ransomware ya desarrolladas por los operadores para ejecutar ataques.

Los afiliados ganan un porcentaje de cada pago de secuestro satisfactorio.

Cifrado

El cifrado del LockBit es uno de los más rápidos y avanzados de los ransomware actuales.

Solo cifra los primeros 4KB del archivo, con esto se hace imposible leer el contenido del mismo y adicional a eso, la velocidad con la que cifra todos los archivos en el endpoint hace muy complicado al área de seguridad reaccionar rápidamente y contener el compromiso en un tiempo razonable

Steal Bit

La extracción de los datos también es un proceso que evolucionó, anteriormente el ransomware almacenaba la data robada en nubes públicas, en esta versión los cibercriminales crearon una herramienta llamada StealBit que les permite extraer los archivos pero almacenarlos en sus propios servidores.

Esta evolución del ransomware hace más difícil para los administradores de seguridad detener la extracción de los datos y permite a los cibercriminales vender de forma más sencilla esos datos a sus suscriptores.

Lockbit: Linux-ESXi Locker 1.0

Lockbit (desde la versión 2.0) también tiene la capacidad de comprometer endpoints con sistema operativo Linux e incluso máquinas virtuales en Vnware ESXi con su variante.

No es la única familia que lo hace, también Darkside y Revil lo hacen.

Conclusión

LockBit 3.0 es un grupo Ransomware-as-a-Service (RaaS) altamente activo y en expansión que ha victimizado a miles de organizaciones en todo el mundo y emplea varias tácticas, técnicas y procedimientos debido a su gran cantidad de afiliados.

Es así como logró convertirse en uno de los operadores de ransomware como servicios que se extienden con mayor rapidez. Sus desarrolladores han demostrado que son capaces de responder con agilidad cualquier problema que presente su herramienta y que además tienen los conocimientos técnicos para continuar mejorando.

Cualquier organización pueden ser víctima, al menos que proteja su infraestructura con equipos que puedan ayudarle a detectar vulnerabilidades y evitarlas.

Sergio Maestre https://www.corpmaestre.com
Anterior

¿Qué hacer si mi cuenta de Google es hackeada?
Siguiente

Parte 2. QUIC: El protocolo que pone en riesgo nuestras redes