La pandilla de ransomware LockBit anunció que está mejorando las defensas contra los ataques de denegación de servicio distribuido (DDoS) y trabajando para llevar la operación al triple nivel de extorsión.
La pandilla sufrió recientemente un ataque DDoS, supuestamente en nombre del gigante de seguridad digital Entrust, que impidió el acceso a los datos publicados en su sitio de filtraciones corporativas.
Los datos de Entrust fueron robados por el ransomware LockBit en un ataque el 18 de junio. La empresa confirmó el incidente y que los datos habían sido robados.
Entrust no pagó el rescate y LockBit anunció que publicaría todos los datos robados el 19 de agosto. Sin embargo, esto no sucedió porque el sitio de fuga de la pandilla fue atacado por un ataque DDoS que se cree que está conectado a Entrust .
A principios de esta semana, LockBitSupp, la figura pública de la operación de ransomware LockBit, anunció que el grupo está de vuelta en el negocio con una infraestructura más grande para dar acceso a las fugas sin inmutarse por los ataques DDoS.
El ataque DDoS del fin de semana pasado que detuvo temporalmente la filtración de datos de Entrust se vio como una oportunidad para explorar la táctica de la triple extorsión para aplicar más presión a las víctimas para que paguen un rescate.
LockBitSupp dijo que el operador de ransomware ahora está buscando agregar DDoS como una táctica de extorsión además de cifrar datos y filtrarlos.
La pandilla también prometió compartir a través de un torrente 300 GB de datos robados de Entrust para que “el mundo entero conozca sus secretos”.
El portavoz de LockBit dijo que compartirían la fuga de datos de Entrust en privado con cualquier persona que los contacte antes de ponerlos a disposición a través de torrent.
Parece que LockBit cumplió su promesa y lanzó este fin de semana un torrent llamado “entrust.com” con 343 GB de archivos.
Los operadores querían asegurarse de que los datos de Entrust estuvieran disponibles desde múltiples fuentes y, además de publicarlos en su sitio, también compartieron el torrent en al menos dos servicios de almacenamiento de archivos, uno de los cuales ya no está disponible.
Un método ya implementado para prevenir más ataques DDoS es usar enlaces únicos en las notas de rescate para las víctimas.
“La función de aleatorización de enlaces en las notas del casillero ya se implementó, cada compilación del casillero tendrá un enlace único que el dudoser [DDoSer] no podrá reconocer”, publicó LockBitSupp.
También anunciaron un aumento en la cantidad de espejos y servidores duplicados, y un plan para aumentar la disponibilidad de los datos robados haciéndolos accesibles también a través de clearnet, a través de un servicio de almacenamiento a prueba de balas.
LockBit ha hecho que los datos robados de Entrust estén disponibles a través de clearnet, en un sitio web que proporciona archivos por un período limitado.
La operación del ransomware LockBit ha estado activa durante casi tres años, desde septiembre de 2019. Al momento de escribir este artículo, el sitio de fuga de datos de LockBit está en funcionamiento.
La pandilla enumera más de 700 víctimas y Entrust es una de ellas, con datos de la compañía filtrados el 27 de agosto.
