El grupo LockBit Ransomware, también conocidos como Bitwise Spider, Son la mente maestra criminal detrás del popular Ransomeware-as-a-service. Siendo estos una de los grupos de ransomware más activos a nivel mundial, atacando múltiples victimas a diario. Quienes comenzarían a anunciar continuamente a través de su sitio en la Dark Web, nuevas víctimas, mucho más rápido que su competencia.
Sobre Lockbit Ransomware
Comenzarían sus operaciones en septiembre de 2019 como ransomware ABCD para luego cambiar su nombre a Lockbit. Para junio de 2021, introducen Lockbit 2.0 el cual a su vez introdujo nuevas características como la copia instantánea y la eliminación de archivos de registro y así dificultar la recuperación de las víctimas. A su vez, Lockbit tiene la velocidad de cifrado más rápida entre los grupos que ofrecen Ransomware-as-a-Service con alrededor de 25 mil archivos cifrados en menos de un minuto.
Lockbit 2.0, el ransomware comprueba el idioma predeterminado del sistema y evita el cifrado, y detiene el ataque si el idioma del sistema víctima es el ruso o el idioma de uno de los países cercanos. Por lo que se cree que el grupo tuvo sus orígenes en Rusia.
Lockbit 3.0
La división cibernética del FBI publicó un aviso de seguridad Flash del FBI sobre los Indicadores de Compromiso (IOC) de Lockbit 2.0 el 4 de marzo de 2022. Después del aviso del FBI, un usuario en un foro de la Dark Web ha publicado una entrada en el foro con el título “Kockbit fuckup thread”. En la publicación, el usuario aborda los errores encontrados en el ransomware Lockbit 2.0 y un método de recuperación para las víctimas. Los investigadores de Microsoft DART han descubierto un método al descubrir y explotar errores encontrados en el ransomware Lockbit 2.0, lo que les permite revertir con éxito el proceso de cifrado en una base de datos MSSQL de una de las víctimas de Lockbit.
A su vez, un miembro del grupo de ransomware Lockbit ha comentado en la publicación explicando la razón del error MSSQL. El miembro de Lockbit dice que el error no existirá en Lockbit 3.0, lo que indica el lanzamiento de la versión más reciente.
El 17 de marzo, el equipo de investigación cibernética vx-underground ha publicado una captura de pantalla de sus conversaciones con uno de los asociados de Lockbit. En la captura de pantalla, el investigador de vx-underground pregunta cuándo se lanzará Lockbit 3.0, y el afiliado de Lockbit dice que la versión más reciente se lanzará en una o dos semanas.
Cifradores dirigidos a Mac-OS por primera vez
LockBit ha creado cifradores dirigidos a macOS por primera vez, lo que los convierte en el primer grupo de ransomware importante en apuntar específicamente a macOS. Se descubrieron cifradores previamente desconocidos para CPU ARM, FreeBSD, MIPS y SPARC, incluido un cifrado llamado ‘locker_Apple_M1_64’ para Mac más nuevos que se ejecutan en Apple Silicon.
Los cifradores parecen estar en la fase de prueba y aún no están listos para su implementación en ataques reales contra dispositivos macOS. Wardle, un experto en ciberseguridad de macOS, confirmó que el cifrado de macOS se basa en la versión de Linux y está lejos de ser completo, ya que carece de la funcionalidad para cifrar las Mac correctamente.
