Tras quedar fuera de línea durante días por un ataque de denegación de servicio distribuido (DDoS), el grupo de ransomware LockBit ha anunciado que llevará a cabo tácticas más agresivas a la vez que está reclutando activamente a nuevos miembros.
En un tuit en el que anuncia su nueva estrategia, el grupo afirma que a partir de ahora atacará a sus víctimas mediante un modelo de triple extorsión, que se basa en el método de doble extorsión que se ha extendido en los últimos años.
El ransomware de triple extorsión es una técnica relativamente nueva que busca forzar a la víctima o a sus clientes a pagar amenazándolos con un ataque DDoS. Se trata de una prolongación del llamado ransomware de doble extorsión, en el que los hackers no sólo cifran los datos de los sistemas hackeados, sino que también los roban.
La triple extorsión no es habitual, pero se ha relacionado con los ataques del ya desaparecido grupo REvil, que era conocido por utilizar tácticas inusuales en sus campañas.
LockBit también declaró que, además de la triple extorsión, empezaría a incluir enlaces de pago únicos y aleatorios en cada nota de rescate, lo que dificultaría que las contramedidas, como los ataques DDoS, afectaran al sitio de pago del actor de la amenaza.
El viernes 19 de agosto, poco después de que LockBit publicara los supuestos datos filtrados sobre la empresa de ciberseguridad Entrust, investigadores de seguridad informaron de que el sitio web de LockBit estaba siendo objeto de lo que parecía ser un ataque DDoS.
Según IT Pro, el investigador de seguridad Azim Shukuhi tuiteó el domingo que el grupo de ransomware estaba rechazando 400 peticiones por segundo desde más de 1.000 servidores. Shukuhi también afirmó que el grupo de ransomware AlphV/BlackCat fue objeto de un ataque similar al mismo tiempo, pero que su sitio web fue restaurado rápidamente. Por el momento, se desconoce si los ataques están relacionados.
Un agente de soporte de LockBit acusó a Entrust de estar detrás del ciberataque contra ella en una entrevista con el grupo de investigación de malware VX-Underground. LockBit proporcionó una captura de pantalla del ataque en acción, en la que se muestran solicitudes con una nota redactada de forma agresiva en el campo del agente de usuario del navegador en la que se ordena a LockBit que elimine los datos de Entrust.
Si Entrust estaba detrás del ataque a LockBit, sería la primera vez que una empresa de ciberseguridad realiza una operación de seguridad ofensiva contra una organización de ransomware. En el momento de escribir este artículo, el sitio de filtraciones de LockBit estaba inaccesible. Entrust no ha confirmado si está o no detrás del ataque a LockBit.
Entrust anunció un ciberataque a la empresa a finales de junio de 2022, pero no especificó si se trataba o no de un ransomware. Un agente de soporte de LockBit también habría compartido capturas de pantalla de las negociaciones posteriores al ataque entre el grupo de ransomware y Entrust.
Las conversaciones con el investigador Soufiane Tahiri, también citado por IT Pro, se remontan al 29 de junio de 2022, siendo el rescate fijado en 8 millones de dólares antes de ser reducido a 6,8 millones de dólares. Otro investigador de seguridad, Dominic Alvieri, obtuvo y tuiteó una notificación enviada por Entrust a sus clientes el 6 de julio informándoles del ataque inicial del 18 de junio.
“Creo que la empresa quería mantener el silencio durante las negociaciones y llegar rápidamente a un acuerdo después de notificar a los clientes. Simplemente dejaron de negociar después de que se revelara el ciberincidente”, dijo Alvieri.
LockBit afirma que Entrust está detrás del ataque; sin embargo, como empresa legítima de la ciberseguridad, es poco probable que Entrust admita alguna vez que dirige operaciones de seguridad ofensivas. A pesar de ser bastante común en la ciberseguridad, los ataques DDoS son ilegales, y es poco probable que una empresa del calibre de Entrust admita haber llevado a cabo un ataque por definición ilegal.
