Durante años, Lockbit fue ampliamente considerado la principal operación de ransomware, a menudo elogiada por su supuesta profesionalidad y eficiencia, similar a una startup bien engrasada del valle de silicio. Sin embargo, una fuga significativa del panel de afiliados 4.0 de Lockbit en mayo ha desmantelado drásticamente esta ilusión, revelando una operación plagada de desorganización, conflictos internos e inconsistencias sorprendentes.
La fuga, que proporcionó una visión sin precedentes del funcionamiento interno de una operación de ransomware como servicio (RAAS), expuso un ecosistema oportunista y caótico. Incluyó más de 4,000 mensajes de chat entre los afiliados de Lockbit y sus víctimas, miles de compilaciones de ransomware, etiquetas de usuario internas y datos extensos de CryptoWallet. Este tesoro de información pintó una imagen muy alejada de la empresa criminal disciplinada a menudo imaginada, en lugar de destacar un paisaje de amenazas fragmentado e impredecible.
Una revelación clave de la fuga fue el desprecio generalizado por las propias reglas operativas de Lockbit. Los afiliados frecuentemente ignoraron a las víctimas, suministraron herramientas de descifrado defectuosas e incluso eludieron los pagos a la plataforma, evitando así su corte estándar del 20%. En un caso notable, un afiliado culpó a los archivos corruptos al software antivirus e instruyó a una víctima para esperar una herramienta de descifrado correcta porque “el jefe está muy ocupado”, eventualmente cese la comunicación por completo.
Quizás lo más sorprendente, los afiliados violaron descaradamente la regla explícita de Lockbit contra la orientación de las organizaciones rusas. En febrero, dos entidades del gobierno ruso fueron atacadas. Para mitigar el daño de la reputación y contener las consecuencias, los administradores de Lockbit intervinieron, ofreciendo descifradores gratuitos a las organizaciones afectadas. El afiliado responsable de estos ataques fue suspendido posteriormente y etiquetado con “RU Target”.
Los aspectos financieros de las operaciones de Lockbit, según lo revelado por la fuga, estaban igualmente confundidos. De las 159 billeteras de bitcoin identificadas en relación con intentos de extorsión, solo 19 realmente recibieron fondos. Si bien algunos afiliados pueden haber negociado fuera de la plataforma Lockbit para evitar las tarifas, la tasa de éxito general para recolectar rescates fue notablemente baja. Por ejemplo, un afiliado extorsionó con éxito más de $ 2 millones de un proveedor de la nube suiza, pero la gran mayoría de los afiliados se alejó sin nada, subrayando la naturaleza errática de los rendimientos financieros dentro del grupo.
Contraintuitivamente, esta desorganización inherente no hace que los grupos de ransomware sean menos peligrosos; Más bien, los hace más formidables y difíciles de defenderse. La ausencia de estructura consistente y estándares operativos evita que los defensores desarrollen un libro de jugadas predecible. La variabilidad en el comportamiento de los afiliados, donde uno podría ofrecer acuerdos de apoyo y honor, mientras que otro desaparece después del rescate, acumula la planificación de la respuesta a los incidentes y erosiona cualquier valor percibido para pagar un rescate. Además, no hay garantía de que los datos robados se destruyan o se mantengan en secreto; Los datos de las infracciones pueden resurgir meses después, exponiendo negociaciones privadas o vulnerabilidades de seguridad mucho después de que una organización cree que se ha contenido una crisis.
El modelo de afiliado, como lo demuestra la fuga de Lockbit, parece incentivar la imprudencia. A pesar de que la reputación de la marca es crucial para una empresa RAAS exitosa, la fuga mostró una sorprendente falta de repercusiones para los afiliados que incumplieron los términos de servicio. Esta falta de responsabilidad puede completar a los actores a tomar mayores riesgos, exigir rescates más grandes y seguir adelante con consecuencias mínimas o nulas, una dinámica que los investigadores especulan puede extenderse a otras empresas RAA.
Dada esta realidad caótica, la única defensa racional es la preparación integral. Esto incluye una sólida segmentación de red, monitoreo vigilante para el movimiento lateral, la implementación de la autenticación multifactorial y el parche oportuno de vulnerabilidades conocidas. También requiere ensayar planes de respuesta a incidentes con la suposición crítica de que la asistencia podría no materializarse incluso después de que se paga un rescate.
Es poco probable que la fuga de Lockbit sea un incidente aislado. A medida que la presión de la aplicación de la ley se intensifica y los incentivos financieros para las operaciones de ransomware potencialmente disminuyen, se anticipa un aumento de las luchas internas dentro de los grupos de ransomware. Esta lucha interna, ya sospechada por los administradores de Lockbit, podría proporcionar datos invaluables del mundo real para los investigadores de seguridad.
Se espera que tales luchas internas conduzcan a una disminución de los grupos prominentes de marca, reemplazados por una proliferación de actores heterogéneos que operan en ráfagas cortas e impredecibles. Este cambio complicará los esfuerzos de atribución y hará que la inteligencia de amenazas sea más oscura. El panorama de Raas se parecerá cada vez más a un entorno lleno de gente e inestable en lugar de una jerarquía corporativa estructurada.
Las defensas con demasiada frecuencia se centran en marcas específicas como Conti, Lockbit o BlackCat, creando una falsa sensación de que comprender la marca equivale a comprender la amenaza subyacente. Sin embargo, estos nombres a menudo son identidades desechables, diseñadas para una negación plausible, conveniencia tecnológica y ganancias financieras a corto plazo. Confiar en ellos ofrece una sensación de claridad engañosa en un paisaje de amenazas en constante evolución.
La fuga de Lockbit 4.0 sirve como una llamada de atención crítica, enfatizando que la amenaza de ransomware ya no está (o tal vez nunca) constantemente organizada, centralizada o completamente predecible. En cambio, está fragmentado, oportunista y se vuelve más caótico a día. La preparación estratégica es primordial para una defensa exitosa. Las organizaciones que no se preparan sin duda enfrentarán una mayor incertidumbre debido a la naturaleza impredecible y en gran medida inexplicable de estos atacantes.
A pesar de los desafíos, existe el optimismo: la responsabilidad disminuida para los actores de amenaza podría conducir a marcas RAAS menos exitosas, lo que potencialmente resulta en un conjunto reducido de tácticas técnicas, técnicas y procedimientos (TTP) para que las defensas de la red contrarresten. Los investigadores que estudian tácticas de negociación también pueden proporcionar señales cruciales para evaluar la confiabilidad de un actor de amenaza, independientemente de su marca, minimizando así las pérdidas potenciales. Finalmente, una creciente conciencia de este ecosistema cada vez más desorganizado, combinado con estrategias defensivas específicas, podría hacer que el negocio de ransomware no sea rentable, al menos hasta la próxima evolución de sus métodos.
