07 de junio de 2024Sala de prensaRansomware / Endpoint Security La Oficina Federal de Investigaciones (FBI) de EE. UU. ha revelado que posee más de 7000 claves de descifrado asociadas con la operación de ransomware LockBit para ayudar a las víctimas a recuperar sus datos sin costo alguno. «Nos estamos acercando a las víctimas conocidas de LockBit y alentando a cualquiera que sospeche que fue una víctima a visitar nuestro Centro de Denuncias de Delitos en Internet en ic3.gov», dijo el subdirector de la División Cibernética del FBI, Bryan Vorndran, en un discurso de apertura en la Conferencia sobre Cibernética de Boston de 2024. Seguridad (BCCS). LockBit, que alguna vez fue una prolífica banda de ransomware, ha sido vinculada a más de 2.400 ataques en todo el mundo, con no menos de 1.800 entidades impactadas en los EE. UU. A principios de febrero, una operación internacional de aplicación de la ley denominada Cronos dirigida por la Agencia Nacional contra el Crimen del Reino Unido (NCA) desmanteló su infraestructura en línea. El mes pasado, un ciudadano ruso de 31 años llamado Dmitry Yuryevich Khoroshev fue descubierto por las autoridades como administrador y desarrollador del grupo, una afirmación que LockBitSupp ha negado desde entonces. «Mantiene la imagen de un hacker oscuro, usando alias en línea como ‘Putinkrab’, ‘Nerowolfe’ y ‘LockBitsupp'», dijo Vorndran. «Pero, en realidad, es un criminal, más atrapado en la burocracia de la gestión de su empresa que en cualquier actividad encubierta». También se alega que Khoroshev nombró a otros operadores de ransomware para que las autoridades pudieran «ser suaves con él». A pesar de estas acciones, LockBit ha seguido activo bajo una nueva infraestructura, aunque no opera en ningún lugar a sus niveles anteriores. Las estadísticas compartidas por Malwarebytes muestran que la familia de ransomware se ha relacionado con 28 ataques confirmados en el mes de abril de 2024, lo que la sitúa detrás de Play, Hunters International y Black Basta. Vorndran también enfatizó que las empresas que optan por pagar para evitar la filtración de datos no tienen garantía de que los atacantes realmente eliminen la información, y agregó que «incluso si los delincuentes les devuelven los datos, deben asumir que algún día podrán ser divulgados». o puede que algún día te vuelvan a extorsionar por los mismos datos». Según el Veeam Ransomware Trends Report 2024, que se basa en una encuesta de 1200 profesionales de la seguridad, las organizaciones que experimentan un ataque de ransomware pueden recuperar, en promedio, solo el 57% de los datos comprometidos, lo que las deja vulnerables a «pérdidas sustanciales de datos y negocios negativos». impacto.» El desarrollo coincide con la aparición de nuevos actores como SenSayQ y CashRansomware (también conocido como CashCrypt), a medida que familias de ransomware existentes como TargetCompany (también conocido como Mallox y Water Gatpanapun) están refinando constantemente su oficio aprovechando una nueva variante de Linux para apuntar a los sistemas VMWare ESXi. Los ataques aprovechan los servidores Microsoft SQL vulnerables para obtener acceso inicial, una técnica adoptada por el grupo desde su llegada en junio de 2021. También determina si un sistema objetivo se ejecuta en un entorno VMWare ESXi y tiene derechos administrativos antes de continuar con el rutina maliciosa. «Esta variante utiliza un script de shell para la entrega y ejecución de la carga útil», dijeron los investigadores de Trend Micro Darrel Tristan Virtusio, Nathaniel Morales y Cj Arsley Mateo. «El script de shell también filtra la información de la víctima a dos servidores diferentes para que los actores del ransomware tengan una copia de seguridad de la información». La compañía de ciberseguridad atribuyó los ataques que implementaron la nueva variante Linux del ransomware TargetCompany a un afiliado llamado Vampire, que también fue revelado por Sekoia el mes pasado. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.