LockBit intenta mantenerse a flote con una nueva versión

Trend Micro Incorporated, compañía global de ciberseguridad, ha revelado su papel fundamental a la hora de ayudar a los partners de las fuerzas de seguridad mundiales a desbaratar el megagrupo de ransomware LockBit y acabar con la viabilidad de sus planes de malware a largo plazo. Mediante una infiltración encubierta, Trend ayudó a impedir el lanzamiento de los próximos productos de malware del grupo e instaló automáticamente protección para los clientes de Trend Micro, incluso antes de que el propio grupo hubiera terminado las pruebas.

Robert McArdle, líder del equipo de investigación sobre ciberdelincuencia de Trend Micro y colaborador del Federal Bureau of Investigation (FBI) y de la National Crime Agency (NCA), declaró: «Es un honor para nosotros que nuestra información sobre amenazas tenga un valor único para las fuerzas de seguridad mundiales en la misión compartida de hacer un mundo más seguro«.

LockBit fue responsable de alrededor del 25% de todas las filtraciones de ransomware en 2023

LockBit es una operación de ransomware como servicio (RaaS) que ha estado involucrada en numerosos incidentes de seguridad para organizaciones a nivel mundial a lo largo de los años. Al ofrecer LockBit como RaaS, sus desarrolladores pueden proporcionárselo a otros delincuentes para sus propias operaciones. En una configuración típica de RaaS, las ganancias se dividen entre los desarrolladores y sus afiliados después de que se haya negociado y pagado el rescate. LockBit normalmente cobra una parte del 20% del rescate por víctima que paga, y el 80% restante va al afiliado. Sin embargo, si LockBit es quien lleva a cabo las negociaciones, esta tarifa aumenta entre el 30 y el 50%. En noviembre de 2023, el grupo introdujo nuevas recomendaciones para los valores de rescate basados ​​en los ingresos de la víctima, prohibiendo descuentos superiores al 50%.

Desde un punto de vista puramente técnico, lo que hacía especial a LockBit en comparación con otros paquetes de ransomware de la competencia era que solía tener capacidades de autopropagación. Una vez que un host de la red se infecta, LockBit puede buscar otros objetivos cercanos e intentar infectarlos también, una técnica que no era común en este tipo de malware.

Desde la perspectiva de un grupo criminal, LockBit era conocido por ser innovador y estar dispuesto a probar cosas nuevas (aunque menos en los últimos tiempos, como veremos en esta entrada). Por ejemplo, organizaron un concurso público (una “recompensa por errores”) para encontrar nuevas ideas de la comunidad cibercriminal para mejorar su ransomware. Este grupo también desarrolló y mantuvo una interfaz simple de apuntar y hacer clic que permitía a un cibercriminal elegir varias opciones antes de compilar el binario final para el ataque, reduciendo así la barrera técnica de entrada para sus afiliados criminales.

En los últimos tiempos, el grupo ha experimentado problemas, tanto internos como externos, que han amenazado su posición y reputación como uno de los principales proveedores de RaaS.

La nueva versión LockBit-NG-Dev

Recientemente, obtuvimos una muestra que creemos que representa una nueva evolución de LockBit: una versión en desarrollo de un malware en prueba independiente de la plataforma que es diferente de las versiones anteriores. El ejemplo agrega un sufijo «locked_for_LockBit» a los archivos cifrados que, al ser parte de la configuración y, por lo tanto, aún sujetos a cambios, nos lleva a concluir que se trata de una próxima versión no implementada del grupo.

Según su estado de desarrollo actual, estamos rastreando esta variante como LockBit-NG-Dev, que creemos además podría formar la base de un LockBit 4.0 en el que es casi seguro que el grupo esté trabajando.

A continuación se incluye un análisis detallado en el apéndice técnico, pero algunos cambios clave incluyen:

• LockBit-NG-Dev ahora está escrito en .NET y compilado usando CoreRT. Cuando se implementa junto con el entorno .NET, esto permite que el código sea más independiente de la plataforma.
• La base del código es completamente nueva en relación con el cambio a este nuevo lenguaje, lo que significa que probablemente será necesario crear nuevos patrones de seguridad para detectarlo.
• Si bien tiene menos capacidades en comparación con v2 (rojo) y v3 (negro), es probable que estas características adicionales se agreguen a medida que continúe el desarrollo. Tal como están las cosas, sigue siendo un ransomware funcional y potente.
• Eliminó las capacidades de autopropagación y la capacidad de imprimir notas de rescate a través de las impresoras del usuario.
• La ejecución ahora tiene un período de validez al verificar la fecha actual, lo que probablemente ayudará a los operadores a ejercer control sobre el uso de los afiliados y dificultará los sistemas de análisis automatizados por parte de las empresas de seguridad.
• Similar a v3 (Black), esta versión todavía tiene una configuración que contiene indicadores para rutinas, una lista de procesos y nombres de servicios para finalizar, y archivos y directorios para evitar.
• También tiene la capacidad de cambiar el nombre de los archivos cifrados a uno aleatorio.

Como se mencionó en la introducción, aquellos que busquen un análisis detallado de LockBit-NG-Dev pueden consultar el apéndice técnico .