Informe de ransomware: LockBit sigue siendo el más peligroso

14. noviembre 2022
| Ein Comentario

Compartir publicación

LockBit sigue siendo el líder entre los grupos que venden ransomware como servicio (RaaS) en octubre. Esto es lo que muestra el informe de ransomware Malwarebytes de octubre. Ni siquiera los peligrosos grupos Black Basta o ALPHV atacan a las empresas de forma tan masiva.

El equipo de inteligencia de amenazas de Malwarebytes atribuyó 59 ataques al grupo de ransomware LockBit en el último mes (en comparación con 109 ataques en septiembre de 2022 y 62 ataques en agosto de 2022). Karakurt y ALPHV ocupan el segundo lugar en octubre, con 28 ataques cada uno. Black Basta ocupa el tercer lugar con 25 ataques.

LockBit reemplaza a Conti desde arriba

🔎 Ataques de ransomware por grupo en octubre de 2022 (Imagen: Malwarebytes).

Desde la desaparición de Conti, LockBit se ha mantenido como la forma más utilizada de RaaS basada en los ataques conocidos por Malwarebytes. Una comparación con los competidores más cercanos de LockBit también es instructiva aquí, ya que desde marzo ni ALPHV ni Black Basta han alcanzado ni remotamente el mismo nivel de actividad que LockBit. Este último grupo de ransomware representó casi la mitad de toda la actividad de RaaS en septiembre de 2022, lo que representa el 48 por ciento de los ataques detectados por Malwarebytes.

Más ataques de ransomware en EE. UU. que en Europa

Cuando se trata de la distribución de ataques de ransomware por país, EE. UU. vuelve a ser, con mucho, el objetivo más común en octubre de 2022 con 84 ataques. También se vieron afectados los siguientes países europeos: Reino Unido con 13 ataques, España con 8 ataques y Francia y Alemania con 7 ataques cada uno.

LockBit y Continental ponen a la venta datos por 50 millones de dólares

En Alemania hace LockBit es actualmente un tema candente en relación con un ataque de piratas informáticos en Continental en agosto. Recientemente se publicó un chat entre Continental y el grupo de ransomware en su sitio web oscuro, que muestra una negociación entre las dos partes. El registro de chat muestra que Continental estaba buscando evidencia de que LockBit realmente tenía los 40 TB de datos internos supuestamente robados y finalmente los eliminaría tan pronto como se pagara el rescate.

🔎 Ataques RaaS de grupos como LockBit & Co, marzo-octubre de 2022 (Imagen: Malwarebytes).

El último mensaje, atribuido a Continental y fechado el 24 de octubre, dice: "Hola, tenemos una reunión de gestión que celebrar y nos pondremos en contacto con usted mañana al final de la jornada laboral".

Aparentemente, la reunión no salió como esperaba LockBit. Después de varios intentos fallidos de reiniciar las negociaciones, el grupo de ransomware ha puesto a disposición los datos de Continental para su venta o destrucción en su sitio web oscuro por 50 millones de dólares.

Lavado de dinero: cómo LockBit transfiere dinero

Una entrevista publicada por vx-underground en octubre proporcionó información interesante sobre la organización de LockBit. Supuestamente, esto se llevó a cabo con el fundador de LockBit, al que se hace referencia en el sitio como "administrador de LockBit" (LBO). La entrevista arroja luz sobre el tamaño de LockBit y también sobre cómo los rescates pagados en criptomonedas se convierten en efectivo.

🔎 Ataques de ransomware conocidos por país, octubre de 2022 (Imagen: Malwarebytes).

Primero, con respecto al tamaño de la organización LockBit, según LBO, LockBit actualmente tiene más de 10 miembros que consisten en pentesters, desarrolladores, lavadores de dinero, evaluadores y negociadores. Esto haría que el equipo de LockBit fuera casi un orden de magnitud más pequeño que el de Conti, que constaba de alrededor de 100 miembros antes de disolverse.

En última instancia, la escalabilidad de RaaS proviene del uso de afiliados, es decir, organizaciones asociadas que realizan ataques con el ransomware LockBit y pagan por esto con parte del rescate. Según LBO, LockBit actualmente no tiene más de 100 afiliados, el deseo sería 300.

Mucho dinero repartido en unas pocas cabezas

Según las cifras de Malwarebytes, estas 100 personas son responsables de aproximadamente un tercio de todos los ataques RaaS. Esto sugiere que es probable que la cantidad de delincuentes profesionales involucrados en ataques de ransomware sea pequeña. Sin embargo, considerando las enormes sumas de dinero que se han extorsionado a los grupos de ransomware en los últimos cinco años y que, por lo tanto, han llegado a relativamente pocas manos, se puede suponer que se trata de una transacción financiera considerable.

Según LBO, el rescate se enviará a los cambistas chinos y de allí a otro cambista. Luego, el dinero se transfiere a tarjetas bancarias utilizando una variedad de métodos. Luego, los mensajeros de dinero se envían a los cajeros automáticos y, en última instancia, llevan el dinero a LockBit. Las transferencias oscilan entre $ 1.000 y $ 7.000.

Según Ransomware Task Force, las víctimas de ransomware pagaron un total de 2020 millones de dólares en rescates en 350. El uso de técnicas de lavado de dinero como se describe anteriormente requeriría por lo menos 50.000 transacciones en cajeros automáticos. Esto podría ser una pista de por qué las transferencias de criptomonedas y el lavado de dinero parecen ser los principales objetivos de las fuerzas del orden en los últimos dos años.

Los clones de LockBit aparecieron en octubre

En septiembre, se lanzó el creador de software para LockBit 3.0. El equipo de inteligencia de amenazas de Malwarebytes descubrió que crear su propio ransomware nunca ha sido tan fácil. Además, Malwarebytes predijo que nuevas bandas criminales que no estaban afiliadas previamente a LockBit podrían usar el software en el futuro, incluso para crear su propio ransomware fuera del programa de afiliados de LockBit.

Esto realmente sucedió en octubre. Hay sospechas de que el grupo de ransomware Bl00dy usó el constructor LockBit 3.0 (nota: dado que Bl00dy no publicó ninguna filtración en la dark web en octubre, el grupo no aparece en el gráfico de octubre de ataques de ransomware conocidos por grupos). Se rumoreaba que se había utilizado un clon de LockBit en un ataque al Banco de Brasilia (BRB). Y una dirección de bitcoin descubierta en notas de rescate de un grupo desconocido que usaba el software LockBit modificado recibió alrededor de $20.000 en pagos.

El informe de ransomware de octubre de 2022 de Malwarebytes incluye aún más datos analizados. Está disponible para leer en línea de forma gratuita. Un clic en el botón conduce directamente al informe.

Más en Malwarebytes.com

 

Acerca de Malwarebytes

Malwarebytes protege a los usuarios domésticos y las empresas de amenazas peligrosas, ransomware y exploits que los programas antivirus no detectan. Malwarebytes reemplaza por completo otras soluciones antivirus para evitar las amenazas modernas de ciberseguridad para usuarios privados y empresas. Más de 60.000 XNUMX empresas y millones de usuarios confían en las innovadoras soluciones de aprendizaje automático de Malwarebyte y sus investigadores de seguridad para evitar amenazas emergentes y eliminar el malware que las soluciones de seguridad anticuadas pasan por alto. Visite www.malwarebytes.com para obtener más información.

 

Artículos relacionados con el tema

Seguridad informática: NIS-2 la convierte en una máxima prioridad

Sólo en una cuarta parte de las empresas alemanas la dirección asume la responsabilidad de la seguridad informática. Especialmente en empresas más pequeñas ➡ Leer más

Los ciberataques aumentarán un 104 por ciento en 2023

Una empresa de ciberseguridad ha analizado el panorama de amenazas del año pasado. Los resultados proporcionan información crucial sobre ➡ Leer más

Seguridad informática: base para LockBit 4.0 desactivada

Trend Micro, en colaboración con la Agencia Nacional contra el Crimen (NCA) del Reino Unido, analizó la versión inédita que estaba en desarrollo. ➡ Leer más

MDR y XDR a través de Google Workspace

Ya sea en una cafetería, en una terminal de aeropuerto o en la oficina en casa, los empleados trabajan en muchos lugares. Sin embargo, este desarrollo también trae desafíos ➡ Leer más

El software espía móvil representa una amenaza para las empresas

Cada vez más personas utilizan dispositivos móviles tanto en la vida cotidiana como en las empresas. Esto también reduce el riesgo de "descarga móvil". ➡ Leer más

La seguridad colaborativa identifica muchas vulnerabilidades

La seguridad colaborativa ha aumentado significativamente en el último año. En el sector público se reportaron un 151 por ciento más de vulnerabilidades que el año anterior. ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

FBI: Informe sobre delitos en Internet contabiliza daños por valor de 12,5 millones de dólares 

El Centro de Denuncias de Delitos en Internet (IC3) del FBI ha publicado su Informe sobre delitos en Internet de 2023, que incluye información de más de 880.000 ➡ Leer más

Stories
, , , , , ,