LockBit
De alineación pro-rusa, fue visto por primera vez en septiembre de 2019 bajo el nombre “ABCD” antes de apodarse LockBit. Este primer nombre provenía de la extensión del cifrado que se aplicaba a los archivos de los sistemas afectados por el ransomware (.abcd).
El grupo emergió por primera vez en el horizonte de amenazas en enero de 2020, presente en foros underground de habla rusa. En junio de 2021, lanzó la versión 2.0 de su ransomware bajo el mismo nombre, “LockBit”, ahora conocido como “LockBit 2.0”. En marzo de 2022, se actualizó, pasando a llamarse “LockBit 3.0” con dos variantes, BLACK y RED. En enero de 2023 apareció LockBit Green, que incorporaba parte de código fuente del ransomware Conti.
El grupo opera bajo un modelo de Ransomware como servicio (RaaS – Ransomware-as-a-Service), en este modelo se ofrece el ransomware a terceros como un servicio, a través de una plataforma o infraestructura. Es decir, una forma de negocio en la que los creadores del ransomware proporcionan a otros actores maliciosos las herramientas y la infraestructura necesarias para llevar a cabo ataques de este tipo. Cuando se produce este intercambio, los nuevos propietarios del malware pasan a ser “afiliados”, obligados a pagar una comisión de aquello que ganen además de pagar la cuota de suscripción.
El grupo se diferencia por su norma de evitar el compromiso de hospitales. En los casos en los que el ransomware ha afectado a hospitales, el grupo ha pedido disculpas, expulsado al afiliado responsable del compromiso y otorgado descifradores gratuitamente a la institución.
Este tipo de negocio facilita a actores no tan maduros con conocimientos menos profundos, ejecutar el ransomware dentro de una red una vez que ha sido infectada. El grupo ha usado algunas de las técnicas más comunes para ganar acceso inicial como pueden ser ataques de fuerza bruta contra credenciales de usuario (no confundir con password spraying), spear-phishing para obtener credenciales validas de usuarios y ganar el acceso inicial o infectar el sistema mediante un archivo adjunto modificado o la explotación de vulnerabilidades conocidas (CVEs) y configuraciones de seguridad incorrectas que faciliten su acceso.
En septiembre de 2022 el ransomware fue expuesto de manera pública, lo que abrió la posibilidad de usar este malware a cualquier adversario sin tener que pasar “por caja” con la organización matriz y, por lo tanto, no repartir sus beneficios.
En febrero de 2024 tuvo lugar la “Operación Cronos”, una operación de diversos servicios estatales de seguridad que aunó el esfuerzo conjunto de más de 10 países con el propósito de desarticular LockBit e interrumpir su infraestructura. La operación, dirigida por la National Crime Agency (NCA) de Reino Unido y con la participación de otras organizaciones como el FBI, el Departamento de Justicia Estadounidense y Europol entre otros, lograron infiltrarse y hacerse con el control de parte de los servicios de LockBit, comprometiendo severamente su infraestructura. Algo menos de una semana después, LockBit volvió a aparecer con una nueva página y nueva infraestructura, amenazando a los Gobiernos responsables de la interrupción de su servicio y volviendo a sus operaciones.
