LockBit afirma que sobrevive; hay varios escenarios
El equipo administrativo del grupo de criminales dice que las múltiples agencias involucradas arrestaron a personas inocentes y que tuvieron éxito con Operación Cronos por la pereza de los administradores
Agencia Excélsior
El grupo de ransomware LockBit no piensa rendirse tan fácil ante los embates de las autoridades globales, ya que cuenta con la resiliencia cibernética para tratar de operar nuevamente pese al impacto reputacional o puede volver bajo otro nombre.
Esto porque, a pocas horas de ver interrumpida su infraestructura por la Operación Cronos en varios países, logró poner en marcha otro sitio web en el que se tomaron las medidas necesarias para asegurar la infraestructura.
El equipo administrativo del grupo LockBit incluso se dio tiempo para burlarse de las autoridades, ya que en una supuesta comunicación con la cuenta vx-underground, que se especializa en código malicioso y similares, aseguraron que las múltiples agencias involucradas arrestaron a personas inocentes y que tuvieron éxito con Operación Cronos debido a la pereza de los administradores.
“Sin duda alguna LockBit ha demostrado tener una ciberresiliencia que muchas organizaciones desearían tener, es decir, lo rápido que puede retomar sus operaciones después de un incidente de seguridad o después de un incidente de disponibilidad de su arquitectura”, explicó el director de Marketing para Latinoamérica de Lumu Technologies, Cristian Torres.
Pese a esa rápida respuesta, consideró que la operación realizada por las autoridades sin duda tuvo un impacto fuerte en la reputación del grupo cibercriminal, lo que podría generar varios escenarios hacia adelante.
Al platicar con Excélsior, detalló que como las autoridades lograron divulgar información sobre los afiliados, éstos podrían llevarse sus conocimientos a otras organizaciones de ransomware como servicio.
“Esa credibilidad de los afiliados (en el grupo) sin duda se vio afectada, su información se vio expuesta y se vieron comprometidos, esto les va a generar un declive bastante importante”, resaltó Torres.
Otro posible escenario es que LockBit “reencarne” con otro nombre para así esquivar el impacto reputacional en su marca, algo que es posible porque el esquema de ransomware como servicio se puede implementar muy fácilmente y porque, al parecer, este grupo sigue buscando cómo mejorar sus métodos de ataque.
Esto último porque, de acuerdo con un estudio de Trend Micro presentado, se encontró una muestra de lo que podría ser un evolución del ransomware LockBit, la cual es llamada LockBit-NG-Dev.
“La base del código es completamente nueva en relación con el cambio a este nuevo lenguaje, lo que significa que probablemente será necesario crear nuevos patrones de seguridad para detectarlo”, destacó el equipo de investigación de Trend Micro.
Añadieron que, si bien dicha muestra tiene menos capacidades en comparación con las versiones anteriores, es probable que se mantenga evolucionando.
Ante estos posibles escenarios, Torres recomendó a las empresas y gobiernos no bajar la guardia porque, probablemente, la industria de ransomware seguirá creciendo y aprovechándose de vulnerabilidades de día cero.
“Es muy importante que las empresas empiecen a buscar compromisos residuales porque, a pesar de que la información se puede desencriptar con las llaves que están siendo publicadas y que las autoridades están ayudando, eso no garantiza que la información encriptada no esté comprometida”, agregó.