En un mensaje publicado hoy en un foro clandestino de delitos cibernéticos, un actor de amenazas ha publicado detalles sobre un error en el mecanismo de descifrado gratuito único de LockBit que podría haberse abusado para descifrados gratuitos ilimitados.
El error afecta a LockBit, una operación de ransomware como servicio (RaaS) que se lanzó en enero de 2020 y a través de la cual la pandilla LockBit alquila el acceso a una versión de su cepa de ransomware.
Los clientes de LockBit RaaS, también conocidos como “afiliados”, ejecutan intrusiones en las redes corporativas, donde implementan el ransomware para cifrar archivos y exigen un rescate de las víctimas para proporcionar una clave de descifrado que desbloquea sus archivos.
A través de una nota de rescate dejada en su escritorio, se les dice a las víctimas de LockBit que accedan a un portal web oscuro donde pueden negociar el pago del rescate. Este portal de “pago” también permite a las víctimas acceder a una única operación de descifrado gratuita, para que las víctimas puedan confirmar que los piratas informáticos tienen una copia legítima y funcional de la clave de descifrado.
El Jefe de Investigaciones Cibernéticas e Ingeniero Principal de la firma de seguridad McAfee, dijo:
La forma correcta sería informar cualquier error relacionado con el ransomware a un proveedor de seguridad o al proyecto No More Ransom .
Tanto los proveedores de seguridad como el proyecto No More Ransom tienen mecanismos bien establecidos para aprovechar esta información y ayudar a las víctimas de ransomware sin alertar a los autores de ransomware
El consejo se aplica tanto a los investigadores de seguridad independientes como a los actores de amenazas clandestinos que buscan sabotear a sus rivales.
Se espera que se corrija el error
Al igual que en instancias anteriores, cuando se expuso un error en el código de ransomware, ahora se espera que la banda LockBit solucione el problema en unos días, haciendo que las futuras operaciones de descifrado gratuito sean imposibles. El portal LockBit también estuvo visiblemente caído durante todo el día de hoy, lo que sugiere que posiblemente se estén implementando correcciones, dijo a The Record Marcelo Rivero , analista de inteligencia de malware de la firma de seguridad Malwarebytes .
Puede que no haya sido posible descifrar grandes lotes de archivos a la vez sin alertar al equipo de LockBit, pero el error podría haberse utilizado para descifrar archivos confidenciales seleccionados para los que no existían copias de seguridad.
Actualmente, el ransomware LockBit es uno de los grupos de ransomware más activos en la actualidad. La firma de seguridad Coveware incluyó al ransomware LockBit como una de las 15 principales cepas de ransomware en el cuarto trimestre de 2020 .
Según los datos proporcionados por la plataforma ID-Ransomware, la operación LockBit aún infecta a decenas de víctimas cada semana.
Envíos de LockBit al servicio ID-Ransomware (Imagen a través de MalwareHunterTeam)