Lockbit 3.0 Ransomware: Qué es, cómo funciona y sus diferencias con las versiones anteriores

Lockbit 3.0 Ransomware

Desde su aparición en septiembre de 2019 y sus posteriores actualizaciones Lockbit se ha convertido en un personaje importante en el mundo de la ciberdelincuencia, y ha contribuido en gran medida a que este modelo de Ransomware se siga distribuyendo y renovando. Hoy por hoy, ya podemos hablar de Lockbit 3.0 Ransomware.

Esta banda de ciberdelincuentes proporciona sus servicios a otros expertos y de esta manera propagan este tipo de malware siendo así la operación de ransomware más prolífica, ya que representan el 40% de los ataques conocidos en mayo de 2022. Se caracterizan por tener una alta eficiencia y rapidez en sus ataques, además dentro de su moralidad resaltan códigos tales como, no atacar organizaciones gubernamentales, de atención médica, entre otros; particularidades que nos los exonera de sus responsabilidades legales.

Lockbit se ha convertido en un personaje importante en el mundo de la ciberdelincuencia

Lockbit y su constante mejoría

Recientemente, el 27 de junio de 2022, fiel a su esencia innovadora, Lockbit lanzó la tercera versión de su malware en la cual se han incluido cierta variedad de características nuevas. Entre estas resaltan algunas, por ejemplo, el grupo ha ideado otra manera de extorsión. Lockbit trabaja principalmente a través de su propio DLS (Data Leak Site) esté gestiona y trata las operaciones con sus víctimas, hasta ahora a las víctimas se les daba un periodo de tiempo bien definido para pagar el rescate, la versión 3.0 de Lockbit incluye nuevas posibilidades de negociación; incluso al pagar una tarifa específica, la víctima tendrá la posibilidad de extender el temporizador 24 horas, destruir todos los datos o descargarlos de inmediato, de esta manera no harían público el precio real del rescate y básicamente estarían maximizando el dinero que pueden obtener de cada víctima.

Programa de recompensas (Bug bounty) de Lockbit 3.0

Lockbit 3.0 ha lanzado el primer programa de recompensas por fallos ofrecidos por una banda de ransomware, en él se pide a los investigadores éticos y no eticos de ciberseguridad que envíen informes y reportes en los que proporciones información sobre vulnerabilidades web a cambio de una recompensa que oscilaría entre los 1.000 y 1 millón de dólares.

Además, Lockbit no solo ofrece recompensas por reportar fallos, también paga remuneraciones a cambio de “ideas brillantes” para mejorar la operación del ransomware.

Categorías de recompensas:

• Bugs de sitios web: Vulnerabilidades XSS, inyecciones mysql, conseguir un shell al sitio y más, se pagará dependiendo de la gravedad del bug, la dirección principal es conseguir un descifrador a través del sitio web de bugs, así como el acceso al historial de correspondencia con las empresas encriptadas.
• Bugs de casilleros: Cualquier error durante la encriptación por parte de los casilleros que conduzca a archivos corruptos o a la posibilidad de desencriptar archivos sin conseguir un desencriptador.
• Ideas brillantes: Pagamos por ideas, por favor escríbanos cómo mejorar nuestro sitio y nuestro software, las mejores ideas serán pagadas. ¿Qué tienen de interesante nuestros competidores que nosotros no tengamos?
• Doxing: Pagamos exactamente un millón de dólares, ni más ni menos, por doxing al jefe del programa de afiliados. Tanto si eres un agente del FBI como un hacker muy listo que sabe encontrar a cualquiera, puedes escribirnos un mensajero TOX, darnos el nombre de tu jefe y conseguir un millón de dólares en bitcoin o monero por ello.
• TOX messenger: Vulnerabilidades de TOX messenger que permiten interceptar la correspondencia, ejecutar malware, determinar la dirección IP del interlocutory otras vulnerabilidades interesantes.
• Red Tor: Cualquier vulnerabilidad que ayude a obtener la dirección IP del servidor donde está instalado el sitio en el dominio de la cebolla, así como obtener acceso root a nuestros servidores, seguido de un volcado de la base de datos y los dominios de la cebolla.

Nota de rescate de Lockbit 3.0

La nota de rescate indica que los datos son robados y encriptados. Si las víctimas no pagan el rescate, los datos serán publicados en la “dark web”. Da instrucciones de cómo ponerse en contacto con los delincuentes y advierte que eliminar o modificar los archivos encriptados provocará problemas con su descifrado.

Aún no está claro que cambios técnicos tendría el cifrador, sin embargo las notas de rescate ya no se llaman “Restore-my-files”, en su lugar su nombre y formato han cambiado a [id].README.tx.

Zcash, nueva opción de pago

Monero, Bitcoin y Zcash son los íconos de criptomonedas que se muestran en la nota de rescate al momento de pagar.

Aunque no sorprende, sí resalta la adición de Zcash como una nueva facilidad al momento de pagar. Una de las razones puede ser que las empresas de seguimiento de criptomonedas han demostrado en repetidas ocasiones que se puede rastrear el Bitcoin.

Zcash es una moneda que centra su operación en la privacidad, lo que la hace más difícil de rastrear, y actualmente se ofrece a la venta en los exchanges más populares lo que la diferencia de Monero, que aunque también es una moneda de privacidad, la gran mayoría de intercambios de criptomonedas no la ofrecen a la venta.

¿Qué pasos debes seguir en caso de un ataque ransomware Lockbit 3.0?

Como en cualquier caso de una infección con este malware, deberás seguir los siguientes pasos para evitar afectar más dispositivos y responder ante el caso:

1. Toma medidas para contener el ataque.
2. Aísla tu dispositivos y de ser posible, mueve tus datos a ubicaciones seguras.
3. De forma rápida, haz un balance de la situación y determina qué tanto se han visto afectados sus sistemas, identifica de dónde pudo provenir el ataque, recolecta evidencia y de ser posible, restaura tus copias de seguridad.
4. Asegúrate de medir el impacto, con eso identificarás si otros dispositivos se han visto afectados y actúa de la misma manera.
5. Prepara un plan de comunicación para difundir la información y los siguientes pasos para actuar ante el ataque.
6. Comunícate con un equipo de expertos que puedan guiarte y recuperar tus datos de forma segura haciendo clic aquí.

Somos expertos en temas de Ransomware, si buscas más información al respecto, puedes encontrarnos en le siguiente link Ransomware, ¿Qué es y cómo funciona?.