La comunidad de seguridad cibernética ha recibido con agrado la noticia de que el prolífico, peligroso y temido cártel de ransomware LockBit ha sido interrumpido significativamente por la Agencia Nacional contra el Crimen (NCA) del Reino Unido, el FBI y otros. En la Operación Cronos, que se ha desarrollado silenciosamente durante un período de varios meses, la NCA y sus socios comprometieron la infraestructura de la pandilla y confiscaron activos, incluidos servidores, herramientas personalizadas y sitios web oscuros utilizados por la operación y sus afiliados. Las autoridades también congelaron varias cuentas de criptomonedas vinculadas a la pandilla LockBit, y ahora sabemos que dos personas han sido detenidas bajo custodia policial en Polonia y Ucrania. Expertos optimistas Entre los expertos en seguridad que se comunicaron con Computer Weekly después de la eliminación, el ambiente fue generalmente optimista: “Lockbit se convirtió en el grupo de ransomware más prolífico desde que Conti abandonó la escena a mediados de 2022. La frecuencia de sus ataques, combinada con el hecho de que no tienen límites en cuanto al tipo de infraestructura que paralizan, también los ha convertido en los más destructivos de los últimos años”, afirmó Chester Wisniewski, director y CTO de campo global de Sophos. «Cualquier cosa que perturbe sus operaciones y siembre desconfianza entre sus afiliados y proveedores es una gran victoria para las fuerzas del orden». El asesor global de seguridad cibernética de ESET, Jake Moore, dijo: “Es extremadamente difícil atrapar a los ciberdelincuentes, especialmente aquellos en grandes grupos operativos, por lo que la interrupción es una táctica policial clave. La eliminación del sitio web de LockBit será un duro golpe para los ciberdelincuentes y, aunque no erradicará el problema, perturbará la red criminal y potencialmente ahorrará a las empresas millones de libras en actividades específicas. “Muestra los éxitos de los organismos encargados de hacer cumplir la ley que trabajan juntos en colaboración y cómo esta sigue siendo la mejor manera de atacar a los actores de amenazas conectados. «Localizar evidencia suficiente es el aspecto más difícil en cualquier investigación de delitos cibernéticos, pero esto pone de relieve que con suficiente fuerza y ​​vigilancia proactiva, el crimen no siempre seguirá dando sus frutos», dijo Moore. El director de inteligencia y divulgación de amenazas de WithSecure, Tim West, dijo que la escala de la operación, cuyos detalles continúan apareciendo, era digna de celebración. “Los comentarios de las autoridades europeas describen una incautación integral de toda la infraestructura necesaria para ejecutar la operación de ransomware. Una publicación escalonada de datos en el propio sitio de filtración de Lockbit no sólo es extremadamente vergonzoso para Lockbit, sino que también puede sugerir que ellos mismos no conocen el alcance de las medidas tomadas”, dijo West. «Una cosa que sí sabemos es que el colectivo de agencias de aplicación de la ley ciertamente habrá sopesado cuidadosamente las oportunidades de impacto a corto y largo plazo para garantizar la máxima interrupción e imponer el máximo costo a Lockbit, y apoyamos cualquier acción que afecte o impida su funcionamiento continuo. Por esta razón, celebramos lo que sin duda habría sido una operación compleja y difícil y felicitamos a los involucrados”. Jamie Moles, gerente técnico senior de ExtraHop, dijo que las recientes medidas policiales para atacar la infraestructura cibercriminal (véanse operaciones similares contra empresas como Hive y ALPHV/BlackCat) eran el camino correcto a seguir. “Si bien en el pasado se han discutido sanciones a presuntos miembros de pandillas y prohibiciones a las empresas que pagan rescates, estos métodos son en gran medida ineficaces. Los miembros de las pandillas a menudo residen en países sin leyes de extradición, y las prohibiciones de pagar rescates castigan a las empresas involucradas con mayor dureza que a las pandillas a las que se dirigen esas leyes”, dijo Moles. “La capacidad de las fuerzas del orden para atacar directamente la infraestructura de la que dependen estas bandas para vender datos robados y aceptar pagos de rescate reduce enormemente la rentabilidad de la empresa. Al crear un ambiente hostil para estas pandillas, podemos ver que los esfuerzos concertados por parte de las fuerzas del orden para frenar la actividad maliciosa en línea están comenzando a dar frutos”. Días oscuros en la web oscura Los investigadores de Searchlight Cyber, que han estado participando en foros clandestinos sobre delitos cibernéticos para tomar la temperatura de los pares de LockBit, dijeron que la desaparición de la pandilla ha generado una respuesta mixta. En el foro de habla rusa XSS, en el que el principal representante de LockBit, LockBitSupp, participó activamente, un hilo sobre las noticias generó más de cien comentarios, muchos de ellos preocupados por cómo un grupo del tamaño y estatura de LockBit fue derribado, otros preocupados. sobre la incautación por parte de la NCA de sus claves de descifrado. En general, el consenso general es que alguna forma de LockBit seguirá viva; sin embargo, los expertos de Searchlight señalaron que varios personajes parecían no estar seguros de si deberían preocuparse o no, dada la limitada información disponible hasta el momento. ¿Se utilizó una vulnerabilidad PHP crítica contra LockBit? Para aumentar aún más la moral, otros miembros del foro XSS parecían estar culpando activamente a LockBit por la mala seguridad operativa. Entre algunos de los detalles más intrigantes que se han filtrado en el último día se incluye la posibilidad, provocada por los administradores de LockBit que siguen prófugos, de que la NCA y sus socios hayan convertido una vulnerabilidad PHP crítica en la pandilla. Como siempre, las declaraciones de los ciberdelincuentes nunca deben tomarse al pie de la letra. Sin embargo, la implicación de que la caída de LockBit tuvo más que poco que ver con su incapacidad para salvaguardar adecuadamente sus propios factores de riesgo de seguridad cibernética le da una agradable ironía a la historia. “Los grupos de ransomware a menudo aprovechan las vulnerabilidades públicas para infectar a sus víctimas con ransomware. [but] esta vez, la Operación Cronos les dio a los operadores de LockBit una muestra de su propia medicina”, dijo Huseyin Can Yuceel, investigador de seguridad de Picus Security. «Según los administradores de LockBit, las agencias de aplicación de la ley explotaron la vulnerabilidad PHP CVE-2023-3824 para comprometer los servidores públicos de LockBit y obtener acceso al código fuente de LockBit, el chat interno, los detalles de las víctimas y los datos robados». CVE-2023-3824 es una vulnerabilidad crítica en el lenguaje de scripting de propósito general de código abierto PHP, ampliamente utilizado. Surge en ciertas versiones del lenguaje cuando una verificación de longitud insuficiente puede provocar un desbordamiento del búfer de la pila, lo que resulta en corrupción de la memoria o ejecución remota de código (RCE). “Aunque el grupo LockBit afirma tener servidores de respaldo intactos, no está claro si volverán a estar en línea. Actualmente, los asociados de LockBit no pueden iniciar sesión en los servicios de LockBit. En un mensaje de Tox, los adversarios dijeron a sus asociados que publicarían un nuevo sitio de fuga después de la reconstrucción”, dijo Yuceel. Reconstrucción de LockBit Es hasta este punto que muchos observadores con los que nos encontramos regresan constantemente: el hecho de que una empresa cibercriminal haya sido significativamente interrumpida no significa que este sea el final del camino para LockBit. “A corto plazo, esto contribuirá de alguna manera a detener o reducir las infecciones de Lockbit. A largo plazo, sospecho que todo seguirá como de costumbre. Si consideramos la causa raíz de los problemas que Lockbit explota, ninguno de ellos ha sido solucionado por las noticias de hoy”, dijo Ed Williams, vicepresidente de pruebas de penetración para EMEA en Trustwave. “La capacidad de movimiento interno y lateral es tan trivial hoy como lo fue ayer en la mayoría de las organizaciones. Le daría entre dos y tres meses, después de lo cual veremos una reencarnación de este tipo de ransomware, que sospecho que será aún más sofisticado ya que los actores de amenazas habrán aprendido las lecciones de hoy y podrán cubrir mejor sus huellas. adelante.» El sentimiento de Williams fue compartido por otros. Matt Hull, jefe global de inteligencia de amenazas del Grupo NCC, estaba entre ellos. Dijo: “Sin duda la gente se preguntará si LockBit podrá recuperarse. El grupo ha afirmado que tienen copias de seguridad de sus sistemas y datos. En el pasado hemos visto a varios operadores de ransomware cambiar de marca, unir fuerzas con otros grupos o regresar unos meses después. «En los próximos días y semanas tendremos una mejor idea del alcance total de la Operación Cronos y de las verdaderas capacidades del grupo LockBit». Camellia Chan, directora ejecutiva y cofundadora de Flexxon, dijo: «No podemos esperar que la banda que atacó a ICBC [China’s largest bank] con un ciberataque tan grave que trastornó el mercado del Tesoro de EE. UU. y cayó sin luchar. LockBit podría incluso reinventarse con el tiempo, como hemos visto con otros cambios de nombre de bandas de ransomware. Además, no hay duda de que hay otros actores amenazantes a la vuelta de la esquina. Para las empresas, esto debería ser una llamada de atención para reforzar las defensas”. Williams añadió: “El problema principal es la rapidez con la que estos grupos de ransomware pueden reagruparse y reactivar sus servicios con mayor sofisticación. Es un juego constante del gato y el ratón en el que organizaciones inocentes deben seguir centrándose en protegerse y convertirlas en un «hueso duro de roer». Las empresas de todo el mundo deberían aprovechar las noticias de hoy como una oportunidad para revisar sus ‘tres P’: contraseñas, parches y políticas”. Las pautas de seguridad tras la eliminación de LockBit son claras: aproveche la posibilidad de una breve pausa en la actividad del ransomware para reforzar sus defensas. «Las empresas no deberían reducir sus esfuerzos para proteger sus datos, identidades e infraestructura», dijo el CISO de campo de Netwrix EMEA y vicepresidente de investigación de seguridad, Dirk Schrader. “Preste atención al consejo de que más vale prevenir que curar. Asegúrese de tener sus cuentas protegidas mediante MFA, que los privilegios se reduzcan al mínimo necesario para realizar el trabajo y existan sólo en el momento oportuno, que sus sistemas estén reforzados y que sus datos vitales estén protegidos. Veremos si LockBit sigue fuera del negocio, pero seguro que otros están listos para llenar el vacío”.

Source link