El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido se ha asociado una vez más con sus homólogos extranjeros, emitiendo una nueva advertencia conjunta sobre la “amenaza duradera” que representa la pandilla de ransomware LockBit, que, si bien sus niveles de actividad parecen haber disminuido en las últimas semanas, sigue siendo uno de los actores de amenazas más prolíficos del mundo.
Este es el último de una serie de avisos multilaterales emitidos por las agencias cibernéticas nacionales de la llamada alianza de inteligencia Five Eyes, que comprende el Reino Unido, Australia, Canadá, Nueva Zelanda y los EE. UU., pero esta vez, la Agencia Nacional de Ciberseguridad de Francia (ANSSI) y la Oficina Federal de Seguridad de la Información (BSI) de Alemania también han intervenido.
“El ransomware sigue siendo una gran amenaza para las empresas en todo el mundo, incluido el Reino Unido, y la operación Lockbit ha sido la más activa, con consecuencias generalizadas”, dijo Paul Chichester, director de operaciones de NCSC.
“Es esencial que las organizaciones comprendan las graves consecuencias que los ataques de ransomware pueden tener en sus operaciones, finanzas y reputación. Este aviso, emitido con nuestros socios internacionales, enfatiza la importancia de que los defensores de la red tomen las medidas recomendadas para establecer protecciones efectivas contra tales ataques”.
Eric Goldstein, subdirector ejecutivo de seguridad cibernética de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés), agregó: “Trabajando con nuestros socios estadounidenses e internacionales, CISA se enfoca en reducir la prevalencia de las intrusiones de ransomware y sus impactos, que incluyen la aplicación de lecciones aprendido de incidentes anteriores de ransomware que han afectado a demasiadas organizaciones.
“Este aviso conjunto sobre LockBit es otro ejemplo de colaboración efectiva con nuestros socios para proporcionar recursos oportunos y procesables para ayudar a todas las organizaciones a comprender y defenderse contra esta actividad de ransomware. Mientras miramos hacia el futuro, todos debemos trabajar juntos para evolucionar hacia un modelo en el que los actores de ransomware no puedan usar tácticas y técnicas comunes para comprometer a las víctimas y trabajar para garantizar que las intrusiones de ransomware se detecten y reparen antes de que ocurran daños”.
Gran impacto
El grupo dijo que LockBit fue la variante de ransomware más implementada vista en el Reino Unido y en todo el mundo el año pasado, y todavía se estaba implementando ampliamente a finales de mayo de 2023.
Según el aviso, aparecieron 324 nuevas víctimas en el sitio de fuga de LockBit en el tercer trimestre de 2022, 148 en el cuarto trimestre y 276 en el primer trimestre de 2023, y es probable que esto sea solo una fracción del total, ya que muchas víctimas han tenido sin darse cuenta rescates pagados para evitar la exposición.
Como una indicación adicional de la escala de la actividad de la pandilla, el aviso reveló que LockBit representó el 18 % de los incidentes de ransomware informados en Australia entre el 1 de abril de 2022 y el 31 de marzo de 2023, el 22 % de los ataques de ransomware atribuidos en Canadá para el año calendario 2022, 23% en Nueva Zelanda y 27% en Francia en el mismo período de tiempo.
Mientras tanto, en los EE. UU., LockBit representó el 16% de los ataques de ransomware en organismos gubernamentales estatales, locales, judiciales y judiciales en 2022.
En lo que va de 2023, LockBit ha representado más de una cuarta parte de los ataques de ransomware realizados por el Equipo de respuesta a emergencias informáticas nacional francés (CERT-FR).
Desafortunadamente, las estadísticas centradas en el Reino Unido no se proporcionan en el aviso, pero se sabe que organizaciones de muchos tipos con sede en el Reino Unido han sido víctimas de la pandilla, incluso en los sectores de servicios financieros, alimentos y agricultura, educación y atención médica.
Su víctima reciente más destacada ha sido Royal Mail, donde interrumpió los servicios de entrega internacional durante semanas a principios de 2023, mientras exigía un rescate “absurdo” de 66 millones de libras esterlinas a la organización deficitaria que había estado lidiando con una serie de huelgas. Otras víctimas del Reino Unido han incluido al proveedor del NHS Advanced y al especialista en software de comercio financiero Ion.
Por lo tanto, es importante que las organizaciones se mantengan alerta y, si es posible, tomen medidas para reducir su exposición potencial.
Entre otras cosas, el aviso cubre los conceptos básicos del modelo de ransomware como servicio (RaaS) favorecido por LockBit, comparte detalles de herramientas gratuitas y de código abierto, y observa las vulnerabilidades y exposiciones comunes (CVE) utilizadas por la pandilla.
También incluye más de 40 tácticas, técnicas y procedimientos (TTP) de LockBit observados asignados al marco MITRE ATT&CK, y comparte detalles de posibles mitigaciones, y recursos y servicios disponibles de las agencias autoras.
Jake Moore, asesor global de seguridad cibernética de ESET, comentó: “El grupo de ransomware LockBit continúa utilizando las variantes más sofisticadas y extendidas del malware, y esto sigue siendo una gran amenaza para las empresas. Vender su modelo personalizado de ransomware como servicio a otros actores de amenazas agrega una gran presión a las empresas de todo el mundo, incluso más cuando se extraen los datos, lo que hace que esto sea una doble extorsión.
“Muchas organizaciones aún no entienden el alcance total de lo que puede lograr el ransomware y cómo este problema creciente sigue siendo una amenaza inevitable.
“Sin embargo, el ransomware se puede detectar en etapas tempranas mediante el análisis de prevención y detección de comportamiento”, dijo Moore. “Es crucial que las organizaciones implementen medidas de seguridad sólidas, incluidas copias de seguridad periódicas, protocolos de seguridad sólidos y educación de los empleados, para mitigar el riesgo de ser víctimas de LockBit o cualquier otra variedad de ransomware”.