Actualmente existen muchas familias de ransomware, las cuales mantienen modalidades de operación como RaaS (Ransomware as a Service) o como grupos independientes. Más allá de la forma en que operan, tienen el mismo objetivo: obtener ganancias económicas. A través de múltiples modos de extorsión, buscan presionar a las víctimas de diferentes formas con el objetivo de agotar recursos para obtener el pago del rescate. Sin embargo, ¿hasta qué punto la víctima puede confiar en estos cibercriminales para recuperar su información?

Incidente en Royal Mail

El pasado 13 de enero de 2023, Royal Mail sufrió un ciber ataque por el Ransomware “LockBit” en sus equipos informáticos, lo cual provocó interrupción en sus servicios de exportación internacionales. Adicionalmente, los equipos afectados empezaron a imprimir las notas de rescate en impresoras usadas para expedientes de la aduana, con información relacionada con “LockBit Black”, conocido como LockBit 3.0, así como los enlaces a los sitios de Tor, incluyendo un ID de descifrado, para iniciar sesión en un chat privado para ponerse en contacto con los atacantes, aunque este último no funcionaba.

Reclamaciones de LockBit: “¡No fuimos nosotros!”

BleedingComputer contactó al soporte de LockBit (LockbitSupp) tras el incidente de Royal Mail. Ellos mencionaron que no estuvieron involucrados en el ataque contra Royal Mail y que muy probablemente se debió a uno de sus afiliados (actores de amenaza) que tiene acceso al compilado del ransomware, lo que haría pensar que fue un ataque más destructivo y no para beneficio personal. Cabe mencionar que en septiembre de 2022 se filtró el compilado de LockBit 3.0 a través de Github y se publicó en Twitter, por lo que cualquiera pudo realizar el ataque.

Algunos investigadores de seguridad consideran sospechoso que los enlaces de Tor encontrados en la nota de rescate aún coincidan con los indicadores de compromiso originales y no con los de otros actores de amenaza, lo que hace suponer que LockBit no dijo toda la verdad.

LockBit admite su cometido

Después del incidente, LockBit hizo una publicación en un foro de hackers ruso, aclarando que identificó al afiliado responsable del incidente y que podrá proporcionar el descifrador y la eliminación de los datos secuestrados después del pago del rescate.

Es importante aclarar que los afiliados a LockBit, son socios comerciales a los que se le da acceso a este malware para que sea utilizado y pueda infectar a nuevas víctimas. A cambio de esto, LockBit recibe un 25 % del rescate pagado.

Verdades y mentiras

Analizando la situación de este escenario, es importante reflexionar que los grupos de ransomware regularmente mienten y manipulan la verdad con tal de mejorar sus ingresos financieros. Dicho esto, recomendamos nunca aceptar las siguientes demandas por parte de estos ciber criminales:

• Eliminación y restauración de los datos: Nunca debes pagar los rescates que te lleguen a exigir estos ciber delincuentes, ya que no existe prueba de que la información sea eliminada o restaurada.
• Descifradores gratuitos: Algunos grupos de ransomware afirman nunca atacar a organizaciones de salud u otras instituciones donde la infraestructura sea demasiado crítica. Si llegase a pasar, ellos proporcionarán un descifrador gratuito para recuperar los equipos afectados, como lo fue en el caso de AvosLocker.
• Afiliados: Aunque este tipo de grupos siempre quieran deslindarse de la responsabilidad culpando a sus afiliados, no hay que olvidar que son contratistas que son incentivados a ejecutar ataques en su nombre.
• Descifradores: Los ciber criminales proporcionan a veces este tipo de herramientas para recuperar la información o parte de ella. No obstante, es necesario tener la asesoría de profesionales o expertos en respuesta en incidentes para revisar la inteligencia sobre el historial de estos grupos y se pueda llegar a una solución.

Referencias:
https://www.databreachtoday.com/blogs/profit-at-any-cost-ransomware-gangs-such-as-lockbit-lie-p-3355
https://www.databreachtoday.com/blogs/lockbit-tries-to-distance-itself-from-royal-mail-attack-p-3354
https://www.bleepingcomputer.com/news/security/royal-mail-cyberattack-linked-to-lockbit-ransomware-operation/
https://www.databreachtoday.com/blogs/ransomware-groups-keep-blaming-affiliates-for-awkward-hits-p-3166