El cártel de ransomware LockBit ha confirmado que está detrás del ciberataque al proveedor de software financiero Ion Group, que ha causado caos en la ciudad de Londres y ha dejado a varios clientes, incluidos ABN Amro e Intesa Sanpaolo, sin acceso a aplicaciones críticas.
En una nota publicada en el sitio de filtraciones de la web oscura de LockBit, compartida con Computer Weekly por título hermano LeMagITla pandilla dijo que publicaría todos los datos disponibles obtenidos de Ion el sábado 4 de febrero a las 7:25 am.
Ion no ha hecho más comentarios sobre el ataque. En su declaración inicial, la organización dijo: “El incidente está contenido en un entorno específico, todos los servidores afectados están desconectados y la reparación de los servicios está en curso. Se publicarán más actualizaciones cuando estén disponibles”.
Sin embargo, según Reutersfuentes con conocimiento de la situación dijeron que los problemas que afectan a los comerciantes de los diversos clientes de Ion podrían tardar hasta cinco días en solucionarse, con posibles repercusiones en los mercados financieros.
Un impacto inmediato importante ha sido en los EE. UU., donde el regulador Commodity Futures Trading Commission (CFTC) dijo que la interrupción estaba afectando la capacidad de algunos de sus miembros para proporcionarle datos oportunos y precisos.
“A medida que se desarrollaba este incidente, quedó claro que la presentación de los datos requeridos por los registrantes se retrasará hasta que se resuelvan los problemas comerciales. Como resultado, el informe semanal de Compromisos de comerciantes que produce el personal de la CFTC se retrasará hasta que se puedan informar todas las transacciones. Se publicará un informe una vez que se reciban y validen los datos de esas empresas”, dijo.
La CFTC agregó que muchas empresas de informes afectadas por el ataque de ransomware no tienen suficiente información para preparar completamente los informes comerciales diarios requeridos por la ley; por lo tanto, deben usar las “mejores estimaciones” para prepararlos y presentar informes revisados una vez que se reanuden los servicios.
Jonathan Knudsen, jefe de investigación global en el Centro de Investigación de Ciberseguridad de Synopsys, comentó: “El software es la infraestructura crítica para todas las demás infraestructuras críticas. El ataque a Ion ilustra no solo la naturaleza interconectada del sistema financiero, sino también una dependencia crucial del software.
“Cada pieza de software es, en esencia, una máquina increíblemente complicada. Para proteger una máquina de este tipo contra ataques, tanto los constructores como los compradores deben examinar toda la cadena de suministro de infraestructura, herramientas, componentes de código abierto, código fuente y configuraciones en una búsqueda incesante para localizar y mitigar las vulnerabilidades.
“Cuando ocurre un incidente, como el ataque de iones, se deben examinar los procesos existentes para comprender qué salió mal y cómo se pueden mejorar los procesos para reducir el riesgo en el futuro”, agregó.
Nuevas opciones para los afiliados de LockBit
Mientras tanto, a principios de esta semana, los operadores de la franquicia LockBit ampliaron la gama de ransomware disponible para sus afiliados.
En una captura de pantalla de la interfaz de afiliados del grupo, compartido en Twitter por vx-underground, LockBit destaca una opción para sistemas Linux/ESXI y tres para sistemas Windows, LockBit Red, también conocido como LockBit 2.0; LockBit Black, que se cree que se deriva del código BlackMatter; y el nuevo LockBit Green.
Un operador de LockBit le dijo a vx-underground que el código fuente de LockBit Green, del cual ya se han visto muestras en la naturaleza, se basó en el de su antecedente Conti.
En particular, Conti finalizó sus operaciones después de declarar inicialmente su apoyo al gobierno ruso en su guerra contra Ucrania, lo que provocó una revuelta entre los pandilleros, uno de los cuales filtró los datos de Conti, incluido su código fuente.
El operador afirmó que quería convertirse en la “pandilla más importante del mundo” y eliminar a su competencia. Insinuaron que están trabajando en otras adiciones a la línea de casilleros de ransomware de LockBit.