Tradicionalmente el ransomware lo que ha hecho es cifrar los archivos y, posteriormente, pedir un rescate a cambio. De esta forma podían sacar dinero a las víctimas, ya que no podían abrir los documentos. Eso podía no solo afectar a nivel de usuario, sino incluso paralizar a toda una empresa, con lo que eso supone económicamente. Otro de ellos es amenazar con hacer públicos ciertos datos. Esto es especialmente sensible para empresas. Pero hay una tercera vía para extorsionar y es lo que están haciendo desde LockBit. Consiste en lanzar ataques DDoS y hacer que un servidor, como puede ser una página web o plataforma online, deje de funcionar correctamente.
LockBit ahora usa la triple extorsión
De entre todos los tipos de malware existentes en la actualidad, el ransomware es, muy probablemente, el más temido por las empresas. No solo les preocupa que los delincuentes cifren sus archivos esenciales para poder seguir trabajando con normalidad, sino también que los filtren, por el daño reputacional que eso les puede causar y las elevadas multas que pueden tener que pagar dependiendo de la legislación vigente.
De entre todos los grupos de ransomware y sus afiliados, destaca uno que ha estado especialmente activo durante los últimos meses. Este no es otro que LockBit, quien ha conseguido el mayor número de víctimas en los últimos meses comparado con otras familias de ransomware que siguen el mismo esquema de funcionamiento.
Este número es tan solo indicativo, y la realidad es que pueden haber muchas otras víctimas que hayan cedido rápidamente al chantaje de los delincuentes y no aparezcan en los listados que estos grupos de delincuentes preparan en sus sitios webs accesibles a través de la red Tor. Además, LockBit es uno de los ransomware que más quebraderos de cabeza está produciendo también a empresas españolas, pues ya es una de las familias a las que más organizaciones de nuestro país ha afectado en lo que llevamos de año.
Lockbit recibe un ataque DDoS
Hace unos días cuando los sitios en la red Tor usados para publicar información de sus víctimas quedaron inaccesibles a consecuencia de un ataque de denegación de servicio distribuido (DDoS).
Aparentemente, este incidente estaría relacionado con el ciberataque a la empresa Entrust y la revelación de información confidencial robada, y tendría como principal finalidad impedir el acceso precisamente a esta información tras empezar a publicarse en el blog de filtraciones de LockBit. En el momento de escribir estas líneas, dicho blog se encuentra activo, aunque el acceso a la información filtrada de Entrust es intermitente.
En reacción a este ataque de denegación de servicio de su blog de filtraciones, el grupo LockBit no solo habría mejorado sus defensas contra ataques DDoS, sino que estaría pensando seriamente incluir precisamente estos ataques como método de extorsión para conseguir que sus víctimas cedan al chantaje.
Para evitar ser nuevamente víctimas de uno de estos ataques, los delincuentes ya habrían implementado el uso de enlaces únicos incluidos en las notas de rescate que se dejan a las víctimas y que normalmente se muestran en el escritorio y carpetas donde se han cifrado ficheros.
Además, los delincuentes han aumentado el número de servidores duplicados y espejo de los existentes, incluso pudiendo acceder a ellos a través de Internet, sin necesidad de utilizar la red Tor.
Fuentes:
Fuente obtenida de: https://blog.elhacker.net/2022/08/grupo-de-ransomware-lockbit-utiliza-ya-triple-extorsion.html
