Bandas de ransomware aprovechan la reputación de LockBit para presionar a las víctimas en nuevos ataques
Los cibercriminales están en constante evolución de sus tácticas, y una de sus últimas estrategias consiste en aprovechar la reputación del infame ransomware LockBit para intimidar a las víctimas. En ataques recientes, los cibercriminales han explotado la función Transfer Acceleration de Amazon S3 para exfiltrar datos, utilizando el nombre de LockBit para generar miedo, aunque no se trate del ransomware en cuestión.
Una tendencia creciente: el mal uso de los servicios en la nube
Los investigadores de seguridad de Trend Micro han observado un aumento en los grupos de ransomware que abusan de Amazon Web Services (AWS). Los atacantes ahora están incorporando credenciales de AWS dentro de su malware para robar datos de manera más eficiente al cargarlos en los buckets S3 bajo su control. Si bien los atacantes pueden usar sus propias cuentas de AWS o cuentas robadas, el resultado es el mismo: los datos confidenciales terminan en sus manos. Afortunadamente, AWS ha actuado rápidamente y ha suspendido las cuentas comprometidas una vez que Trend Micro lo alertó.
Esta tendencia indica que los cibercriminales son cada vez más hábiles a la hora de utilizar los servicios en la nube más populares como arma para sus ataques. Trend Micro descubrió más de 30 muestras que contenían claves de acceso de AWS, lo que sugiere que estas campañas están activas y en expansión.
Disfrazado de LockBit para apretar el nudo
En estos ataques, los operadores de ransomware intentaron disfrazar su malware como LockBit, un nombre conocido en el mundo del ransomware. Al invocar el nombre de LockBit, los atacantes intentaron agregar presión psicológica, haciendo que las víctimas fueran más propensas a pagar el rescate por miedo. El ransomware, escrito en Golang, puede infectar sistemas Windows y macOS, pero no está vinculado directamente con el grupo original de LockBit.
Después de su ejecución, el ransomware obtiene el identificador único (UUID) de una máquina, que se utiliza para generar una clave maestra para cifrar archivos. Se centra en tipos de archivos específicos, los exfiltra a AWS y cambia el nombre de los archivos en el proceso. Por ejemplo, un archivo llamado "text.txt" se convierte en "text.txt.
Finalmente, para intensificar el factor miedo, el ransomware cambia el fondo de pantalla de la víctima a un mensaje de LockBit 2.0, conectando falsamente el ataque con la conocida banda de ransomware.
El panorama de amenazas en constante evolución del ransomware
Estos avances se producen en un momento en que el panorama del ransomware sigue cambiando. Si bien LockBit se ha visto debilitado por los esfuerzos de aplicación de la ley a nivel internacional , otros grupos como RansomHub, Qilin y Akira están interviniendo para llenar el vacío. Akira, en particular, ha recurrido a tácticas de doble extorsión, combinando el robo de datos con el cifrado.
Los investigadores de SentinelOne también descubrieron que los afiliados de la operación de ransomware Mallox han comenzado a utilizar versiones modificadas de Kryptina ransomware para vulnerar los sistemas Linux. Esta diversificación pone de relieve cómo los grupos de ransomware están polinizando de forma cruzada diferentes conjuntos de herramientas y creando cepas de malware más complejas e híbridas.
La batalla contra el ransomware
A pesar de la creciente complejidad de los ataques de ransomware, se han producido algunos avances positivos. Por ejemplo, Gen Digital lanzó un descifrador para el ransomware Mallox, que ofrece a las víctimas la posibilidad de recuperar sus archivos de forma gratuita si fueron atacadas por una variante anterior. Si bien esta no es una solución para todas las víctimas de ransomware, demuestra que se están logrando avances en la lucha contra estas amenazas.
Además, el reciente informe de Microsoft señaló que, si bien el volumen general de ataques de ransomware ha disminuido, los incidentes de ransomware operados por humanos han aumentado drásticamente. Este cambio apunta a ataques más selectivos en los que los cibercriminales gestionan activamente sus operaciones, lo que aumenta la presión sobre las organizaciones para que permanezcan alertas.
Los ataques de ransomware siguen evolucionando y los atacantes abusan cada vez más de los servicios en la nube y disfrazan sus ataques con nombres conocidos como LockBit. La creciente complejidad de estos ataques significa que las organizaciones deben mantenerse a la vanguardia, invertir en medidas de ciberseguridad sólidas y ser cautelosas ante las amenazas emergentes. Si bien algunos logros, como el lanzamiento de descifradores, son un paso en la dirección correcta, la lucha contra el ransomware está lejos de terminar.