La filtración del constructor de ransomware LockBit 3.0 el año pasado ha llevado a los actores de amenazas a abusar de la herramienta para generar nuevas variantes.
La compañía rusa de ciberseguridad Kaspersky dijo que detectó una intrusión de ransomware que implementó una versión de LockBit pero con un procedimiento de demanda de rescate marcadamente diferente.
“El atacante detrás de este incidente decidió usar una nota de rescate diferente con un titular relacionado con un grupo previamente desconocido, llamado AGENCIA NACIONAL DE RIESGOS“, dijeron los investigadores de seguridad Eduardo Ovalle y Francesco Figurelli.
La nota de rescate renovada especificaba directamente la cantidad a pagar para obtener las claves de descifrado y dirigía las comunicaciones a un servicio y correo electrónico de Tox, a diferencia del grupo LockBit, que no menciona la cantidad y utiliza su propia plataforma de comunicación y negociación.
La Agencia Nacional de Riesgos está lejos de ser la única banda de ciberdelincuentes que utiliza el constructor LockBit 3.0 filtrado. Algunos de los otros actores de amenazas conocidos por aprovecharlo incluyen Bl00dy y Buhti.
Kaspersky señaló que detectó un total de 396 muestras distintas de LockBit en su telemetría, de las cuales 312 artefactos se crearon utilizando los constructores filtrados. Hasta 77 muestras no hacen referencia a “LockBit” en la nota de rescate.
“Muchos de los parámetros detectados corresponden a la configuración predeterminada del constructor, solo algunos contienen cambios menores”, dijeron los investigadores. “Esto indica que las muestras probablemente fueron desarrolladas para necesidades urgentes o posiblemente por actores perezosos”.
La revelación se produce cuando Netenrich profundizó en una cepa de ransomware llamada ADHUBLLKA que ha cambiado de nombre varias veces desde 2019 (BIT, LOLKEK, OBZ, U2K y TZW), mientras se dirige a individuos y pequeñas empresas a cambio de escasos pagos en el rango de $ 800 a $ 1,600 de cada víctima.
Aunque cada una de estas iteraciones viene con ligeras modificaciones en los esquemas de cifrado, notas de rescate y métodos de comunicación, una inspección más cercana los ha vinculado a todos a ADHUBLLKA debido a las similitudes de código fuente e infraestructura.
“Cuando un ransomware tiene éxito en la naturaleza, es común ver a los ciberdelincuentes usar las mismas muestras de ransomware, ajustando ligeramente su base de código, para pilotar otros proyectos”, dijo el investigador de seguridad Rakesh Krishnan.
“Por ejemplo, pueden cambiar el esquema de cifrado, las notas de rescate o los canales de comunicación de comando y control (C2) y luego renombrarse como un ‘nuevo’ ransomware”.
El ransomware sigue siendo un ecosistema en evolución activa, siendo testigo de frecuentes cambios en las tácticas y la orientación para centrarse cada vez más en entornos Linux utilizando familias como Trigona, Monti y Akira, la última de las cuales comparte enlaces a actores de amenazas afiliados a Conti.
Akira también se ha relacionado con ataques que utilizan los productos VPN de Cisco como un vector de ataque para obtener acceso no autorizado a las redes empresariales. Desde entonces, Cisco ha reconocido que los actores de amenazas están apuntando a las VPN de Cisco que no están configuradas para la autenticación multifactor.
“Los atacantes a menudo se centran en la ausencia o vulnerabilidades conocidas en la autenticación multifactor (MFA) y vulnerabilidades conocidas en el software VPN”, dijo el comandante del equipo de red.
“Una vez que los atacantes han obtenido un punto de apoyo en una red objetivo, intentan extraer credenciales a través de volcados LSASS (Servicio de Subsistema de Autoridad de Seguridad Local) para facilitar un mayor movimiento dentro de la red y elevar los privilegios si es necesario”.
El desarrollo también se produce en medio de un aumento récord en los ataques de ransomware, con el grupo de ransomware Cl0p que ha vulnerado 1.000 organizaciones conocidas al explotar fallas en la aplicación MOVEit Transfer para obtener acceso inicial y cifrar redes específicas.
Las entidades con sede en Estados Unidos representan el 83,9% de las víctimas corporativas, seguidas de Alemania (3,6%), Canadá (2,6%) y el Reino Unido (2,1%). Se dice que más de 60 millones de personas se han visto afectadas por la campaña de explotación masiva que comenzó en mayo de 2023.
Sin embargo, es probable que el radio de explosión del ataque de ransomware de la cadena de suministro sea mucho mayor. Las estimaciones muestran que se espera que los actores de la amenaza obtengan ganancias ilícitas netas en el rango de $ 75 millones a $ 100 millones de sus esfuerzos.
“Si bien la campaña MOVEit puede terminar afectando a más de 1,000 compañías directamente, y un orden de magnitud más indirectamente, un porcentaje muy, muy pequeño de víctimas se molestó en tratar de negociar, y mucho menos contempló pagar”, dijo Coveware.
“Aquellos que pagaron, pagaron sustancialmente más que las campañas anteriores de CloP, y varias veces más que el monto promedio global de rescate de $ 740,144 (+ 126% desde el primer trimestre de 1)”.
Además, según el Informe de adversario activo de Sophos 2023, el tiempo medio de permanencia de los incidentes de ransomware se redujo de nueve días en 2022 a cinco días en la primera mitad de 2023, lo que indica que “las bandas de ransomware se están moviendo más rápido que nunca”.
Por el contrario, el tiempo medio de permanencia para incidentes que no son ransomware aumentó de 11 a 13 días. El tiempo máximo de permanencia observado durante el período de tiempo fue de 112 días.
“En el 81% de los ataques de ransomware, la carga útil final se lanzó fuera del horario laboral tradicional, y para aquellos que se implementaron durante el horario comercial, solo cinco ocurrieron en un día laborable”, dijo la compañía de ciberseguridad. “Casi la mitad (43%) de los ataques de ransomware se detectaron el viernes o el sábado”.
