Lockbit 3.0 es un grupo de ransomware altamente sofisticado y organizado, que ha llevado a cabo varios ataques exitosos contra empresas de todo el mundo.
Según los informes, el grupo está compuesto por más de 50 afiliados, cada uno de los cuales es responsable de llevar a cabo ataques contra empresas específicas.
Los afiliados de Lockbit 3.0 suelen actuar de forma independiente, seleccionando y atacando sus propios objetivos. Sin embargo, todos ellos están coordinados y respaldados por el grupo central, que proporciona herramientas y técnicas de ataque avanzadas, así como soporte técnico y logístico.
A pesar de que Lockbit 3.0 tiene como objetivo empresas de todo el mundo, según los informes, evitan atacar empresas en la región de la CEI, que incluye a países como Rusia, Ucrania y Kazajstán.
Esta puede ser una estrategia consciente del grupo para evitar atraer la atención de las fuerzas de seguridad en esos países o para evitar conflictos con otros grupos de cibercriminales que operan en la región.
En cualquier caso, Lockbit 3.0 es considerado como una amenaza grave y persistente para las empresas de todo el mundo, y se espera que continúe evolucionando y mejorando sus tácticas de ataque en el futuro.
Las empresas deben tomar medidas proactivas para protegerse contra el ransomware y otras amenazas de ciberseguridad, incluyendo la implementación de medidas de seguridad adecuadas y la realización de capacitación en seguridad para sus empleados.
De los ataques de alto nivel que están ocurriendo en Argentina, Lockbit llevó a cabo ataques en 4 empresas, como OSDE.
Los otros ataques fueron perpetrados por Everest, REvil, Play y Vice Society.
Es preocupante saber que el grupo de ransomware Lockbit ha registrado 399 víctimas conocidas hasta el 4 de mayo de 2023. Esto indica que el grupo sigue siendo una amenaza grave para empresas de todo el mundo y que sus tácticas de ataque son efectivas.

Es importante destacar que este número podría no ser exhaustivo, ya que muchas empresas pueden optar por no hacer públicos sus ataques o pueden no ser conscientes de haber sido víctimas de un ataque de ransomware.
Las empresas deben tomar medidas preventivas y de protección, como asegurarse de tener copias de seguridad actualizadas y almacenadas en una ubicación segura, implementar medidas de seguridad adecuadas como firewalls, antivirus y autenticación de dos factores.
También deben capacitar a sus empleados en prácticas seguras de ciberseguridad para minimizar el riesgo de ser atacados por ransomware y otras amenazas cibernéticas.
Además, deben estar preparados para responder rápidamente y eficazmente si son víctimas de un ataque de ransomware para minimizar el impacto del mismo.
Solo 4 de ellas fueron empresas argentinas, lo que representa aproximadamente el 1% de todos los ataques conocidos de Lockbit en 2023.
Es importante tener en cuenta que el número de víctimas conocidas del grupo de ransomware Lockbit puede ser mayor que el registrado, ya que muchas empresas pueden optar por no hacer públicos sus ataques o pueden no ser conscientes de haber sido víctimas de un ataque de ransomware.
Dicho esto, el hecho de que solo 15 de las 1663 víctimas conocidas de Lockbit sean empresas argentinas, lo que representa el 0,9% de todas sus víctimas conocidas*, sugiere que el grupo de ransomware no ha atacado específicamente a muchas empresas argentinas.
Sin embargo, esto no significa que las empresas argentinas deban bajar la guardia en cuanto a su seguridad cibernética.
Es importante tomar medidas preventivas y de protección, como asegurarse de tener copias de seguridad actualizadas y almacenadas en una ubicación segura, implementar medidas de seguridad adecuadas como firewalls, antivirus y autenticación de dos factores.
Capacitar a sus empleados en prácticas seguras de ciberseguridad para minimizar el riesgo de ser atacados por ransomware y otras amenazas cibernéticas.
Además, deben estar preparados para responder rápidamente y eficazmente si son víctimas de un ataque de ransomware para minimizar el impacto del mismo.
Es tranquilizante saber que en general la proporción de ataques conocidos de ransomware en empresas argentinas es baja y que no se ha visto un aumento significativo en los ataques de ransomware contra Argentina.
Sin embargo, esto no significa que las empresas argentinas deban bajar la guardia en cuanto a su seguridad cibernética.
Es importante tener en cuenta que los ciberdelincuentes están en constante evolución y siempre buscan nuevas formas de atacar a las empresas y organizaciones.
Además, el hecho de que el número de ataques conocidos de ransomware en empresas argentinas sea bajo no significa necesariamente que los ataques no estén ocurriendo.
Otros actores de la amenaza, además de los afiliados de Lockbit, han comenzado a utilizar el ransomware Lockbit 3.0 en sus ataques.
Esto sugiere que el constructor de Lockbit 3.0 ha sido compartido o vendido a otros grupos de cibercriminales, lo que aumenta la posibilidad de que se produzcan más ataques utilizando esta amenaza.
La información de que el grupo Shadow ha estado utilizando Lockbit 3.0 en sus ataques es un ejemplo de cómo los cibercriminales pueden intercambiar y utilizar herramientas de ataque para maximizar su impacto.
Si bien hasta ahora no ha habido empresas argentinas afectadas por estos ataques, es importante que las empresas argentinas tomen medidas preventivas y de protección para minimizar el riesgo de ser víctimas de Lockbit 3.0 o de cualquier otro tipo de ransomware.
Estrategia de permeabilidad de Lockbit
Los grupos de cibercriminales utilicen la marca “LockBit” para actividades promocionales y publicitarias en las redes sociales con el fin de generar una mayor atención y notoriedad en los medios y foros criminales.
Sin embargo, esto no debe confundirse con el propio ransomware LockBit, que es una amenaza real y muy peligrosa para las empresas y organizaciones que lo sufren.

Es importante tener en cuenta que el ransomware LockBit es una amenaza real y no solo una estrategia publicitaria.
Los grupos de cibercriminales que utilizan esta amenaza buscan obtener ganancias financieras a través del secuestro y cifrado de los datos de las empresas y organizaciones que atacan. Por lo tanto, las empresas deben tomar en serio la amenaza del ransomware LockBit y tomar medidas para protegerse contra ella.
El equipo de LockBit incluya desarrolladores, especialistas en marketing y ventas, así como técnicos de soporte que ayudan a gestionar la logística de las operaciones de ransomware.
Estos equipos de cibercriminales suelen ser muy organizados y profesionales, y trabajan con un alto grado de especialización en cada área de operación.
Los desarrolladores de LockBit son responsables de crear el ransomware en sí, y de desarrollar nuevas versiones y actualizaciones para mantener la amenaza relevante y efectiva.
Estos desarrolladores pueden incluir expertos en programación y criptografía que trabajan para mejorar la eficacia y el alcance del ransomware.
Los especialistas en marketing y ventas pueden estar involucrados en la promoción del ransomware en foros criminales y en la web oscura, con el fin de atraer a posibles compradores o afiliados que quieran utilizar la amenaza para llevar a cabo sus propios ataques.
Los técnicos de soporte, por su parte, pueden estar disponibles para brindar asistencia técnica a los compradores o afiliados del ransomware en caso de problemas o dudas en su uso.
Es importante tener en cuenta que estos equipos de cibercriminales pueden estar ubicados en diferentes partes del mundo y actuar de manera independiente y en diferentes zonas geográficas.
Esto hace que la detección y la lucha contra estas amenazas sean más complejas y difíciles de abordar.
A pesar de la imagen pública de LockBit como un grupo criminal unificado, en realidad se trata de una serie de grupos y afiliados independientes que actúan por su cuenta, pero bajo el paraguas de la marca LockBit.
Estos grupos y afiliados pueden tener diferentes objetivos y enfoques, pero comparten la misma marca y herramientas para llevar a cabo sus ataques de ransomware.
Esta estructura organizativa es común en el mundo del cibercrimen, donde los grupos de cibercriminales pueden trabajar juntos en un modelo de negocio conocido como “ransomware-as-a-service” (RaaS), donde los desarrolladores del ransomware venden su software a otros grupos que utilizan la amenaza para llevar a cabo sus propios ataques.
Los grupos y afiliados que utilizan la marca LockBit pueden tener diferentes niveles de experiencia y habilidades, y pueden tener diferentes estrategias y objetivos en sus ataques de ransomware.
Esto puede hacer que los ataques de LockBit varíen en términos de sofisticación y alcance, dependiendo del grupo o afiliado que lo lleve a cabo.
Sin embargo, es importante destacar que, aunque estos grupos y afiliados actúan de manera independiente, todos están utilizando el mismo ransomware y herramientas, lo que significa que los ataques de LockBit tienen características y patrones comunes, lo que permite a los expertos en seguridad identificar y prevenir futuros ataques.
LockBit utiliza un enfoque de “doble extorsión” en sus ataques de ransomware.
Después de cifrar los archivos de la víctima, el grupo amenaza con publicar los datos confidenciales en línea si no se paga el rescate exigido. Este enfoque ha demostrado ser efectivo para los grupos de ransomware, ya que aumenta la presión sobre las víctimas para que paguen el rescate.
La publicación de datos confidenciales en línea también puede ser especialmente perjudicial para las empresas, ya que puede resultar en daños a la reputación y pérdidas financieras significativas.
Al amenazar con la publicación de datos, los grupos de ransomware pueden obligar a las víctimas a tomar decisiones rápidas y arriesgadas sobre si deben pagar el rescate o intentar recuperar sus datos de otras formas.

Es importante destacar que pagar el rescate no garantiza que los datos sean devueltos o que la información confidencial no sea publicada en línea.
Además, el pago del rescate solo fomenta la industria del ransomware y alienta a los grupos de cibercriminales a continuar con sus actividades ilícitas.
Por lo tanto, es recomendable que las empresas implementen medidas de seguridad y respaldo de datos sólidas para minimizar el riesgo de sufrir un ataque de ransomware y estar preparados en caso de que ocurra.
LockBit se enfoca principalmente en atacar empresas y corporaciones de tamaño mediano o grande. Según los informes de inteligencia de amenazas, sus objetivos se encuentran principalmente en Norteamérica y Europa occidental. Sin embargo, también han realizado ataques en otras partes del mundo.
Las empresas de tamaño mediano y grande suelen ser objetivos atractivos para los grupos de ransomware, ya que tienen más recursos y datos valiosos que pueden ser cifrados y utilizados como moneda de cambio para obtener un rescate.
Además, a menudo tienen una infraestructura de seguridad más compleja y distribuida, lo que puede presentar más oportunidades para que los atacantes encuentren vulnerabilidades y exploten las debilidades.
Es importante destacar que ninguna empresa está completamente a salvo de un ataque de ransomware, y todas las empresas, independientemente de su tamaño, deben tomar medidas para protegerse contra estas amenazas.
Las medidas de seguridad pueden incluir la implementación de software de seguridad actualizado, el uso de contraseñas seguras, la educación de los empleados sobre las prácticas seguras en línea y la realización regular de copias de seguridad de los datos críticos.
LockBit ha logrado una gran cantidad de éxito en el mundo del ransomware gracias a su uso de herramientas avanzadas, técnicas de ingeniería social y marketing agresivo en la dark web.
El grupo ha desarrollado una versión personalizada de su software de ransomware, que utiliza técnicas avanzadas de cifrado y evasión de detección para evitar la detección por parte de las soluciones de seguridad.
LockBit también utiliza técnicas de ingeniería social para engañar a las víctimas y hacer que descarguen y ejecuten su software de ransomware. Estas técnicas pueden incluir la suplantación de identidad de empresas legítimas o la creación de correos electrónicos fraudulentos que parecen provenir de fuentes confiables.
Por último, LockBit también utiliza marketing agresivo en la dark web para promocionar su software de ransomware y atraer a nuevos afiliados y clientes. Esto incluye la publicación de anuncios en foros de hackers y la oferta de programas de afiliados para aquellos que promuevan su software de ransomware.
El éxito de LockBit se debe a una combinación de herramientas avanzadas, técnicas de ingeniería social y marketing agresivo en la dark web.
Las empresas deben tomar medidas para protegerse contra estas amenazas, incluyendo la implementación de soluciones de seguridad avanzadas y la educación de los empleados sobre las prácticas seguras en línea.
Es probable que LockBit continúe siendo una amenaza importante en el futuro cercano.
El grupo de ransomware ha demostrado ser altamente adaptable y está constantemente evolucionando para mantenerse al día con las tendencias del mercado y las defensas de seguridad.
Por ejemplo, LockBit ha pasado por varias versiones desde que fue descubierto por primera vez en septiembre de 2019, y cada nueva versión ha mejorado las capacidades del ransomware y ha aumentado su eficacia.
Además, LockBit ha demostrado ser capaz de evadir las soluciones de seguridad más avanzadas y ha sido responsable de algunos de los ataques de ransomware más sofisticados y exitosos de los últimos años.
El hecho de que LockBit sea una red de grupos y afiliados independientes que operan bajo la marca LockBit significa que es difícil detenerlos por completo. Incluso si un afiliado o grupo es identificado y detenido, otros pueden continuar operando y utilizando el mismo nombre de marca.
LockBit es una amenaza altamente adaptable y sofisticada que ha demostrado ser capaz de evadir las soluciones de seguridad más avanzadas.
Es probable que siga siendo una amenaza importante en el futuro previsible y las empresas deben tomar medidas para protegerse contra sus ataques de ransomware.
Las tácticas de propaganda y desprestigio son comunes en la cultura de los grupos criminales en línea, incluidos los grupos de ransomware.
A menudo, buscan socavar la credibilidad y el prestigio de los grupos rivales con la intención de ganar más territorio en el ciberespacio y aumentar su propio poder e influencia.
Sin embargo, estas tácticas pueden tener consecuencias negativas para todas las partes involucradas, incluidos los miembros y las víctimas de los grupos en conflicto.
LockBitSupp es quien comanda esta utiliza información legítima y eventos, que presenta con mensajes alternativos en foros clandestinos para apoyar una historia que beneficia sus propios intereses mientras intenta dañar la reputación de las pandillas rivales.
El líder de LockBit afirma que guarda las claves PGP, las carteras criptográficas, los archivos clave y otros datos sensibles en dos unidades de disco.
Las unidades se almacenan por separado para evitar que alguien obtenga acceso
Guarda una unidad flash en un collar que siempre lleva puesto, y otra se almacena en una unidad que mantiene un tercero en una ubicación remota para su custodia.
El lider de LockBit afirma que accede a su infraestructura de back-end a través de Starlink, un servicio de internet vía satélite de EE. UU. propiedad de SpaceX.
Es importante tener en cuenta que las declaraciones hechas por líderes de grupos de ransomware pueden no ser completamente precisas o verificables, y a menudo pueden ser utilizadas como tácticas de distracción o para aumentar la atención de los medios y la percepción pública.
No se puede confirmar si LockBit utiliza realmente Starlink o cualquier otro servicio de internet satelital para acceder a su infraestructura de back-end, y si lo hace, no está claro cómo esto podría afectar a sus operaciones y defensas de seguridad.
LockBitSupp afirma que confía principalmente en los intercambios de Bitcoin en Hong Kong y China para blanquear su dinero. Cree que la relación adversa de China con los EE. UU. lo hace más seguro y fácil para llevar a cabo operaciones de lavado de dinero.
Según LockBitSupp, el desarrollador del ransomware DarkSide es la misma persona que desarrolló los ransomware BlackMatter y LockBit Black y anteriormente desarrolló malware para Fin7, otro grupo de cibercriminales.
Esta persona está vinculada a muchos delincuentes cibernéticos de alto nivel y debería ser un objetivo para las operaciones gubernamentales y de aplicación de la ley.
Además, el desarrollador puede tener conocimiento de primera mano de las identidades de los miembros clave de varios sindicatos de cibercriminales.
La atribución previa realizada por un tercero que vinculaba a LockBit con el ransomware Gogalocker y Megacortex es falsa.
Después de revisar y analizar la evidencia utilizada por un proveedor de seguridad de terceros para hacer la atribución original, creo que se hizo en error y es incorrecta.
LockBit se relaciona y comunica con varias otras pandillas de ransomware, DarkSide/BlackMatter, BlackCat, REvil, Hive y BlackBasta.
Las relaciones son adversarias, pero los individuos detrás de estas bandas parecen conocerse y tener/haber tenido líneas directas de comunicación entre ellos.
LockBit cree que Conti y ahora BlackBasta, trabajan y apoyan secretamente al gobierno ruso.
LockBit cree que la banda proporciona apoyo directamente al FSB.
En 2020, LockBit patrocinó un “concurso de trabajos de investigación de verano” en el que los solicitantes presentarían trabajos académicos relacionados con técnicas de hacking y explotación. LockBit seleccionaría el mejor trabajo y otorgaría al autor un premio en efectivo.
Esta fue una de sus primeras tentativas de ganar reconocimiento entre los cibercriminales y demuestra su enfoque “fuera de lo común” para identificar y reclutar a futuros criminales inteligentes.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre Ciberseguridad en;
Comunicación para CISOs: enficiencia en el siglo 21
TOP3: Kaspersky lidera en las pruebas, demostrando su excelencia tecnológica
APT Tomiris 2023 que ataca a entidades gubernamentales bajo investigación
SAS Security Services 2023: Continuidad Imperativa
SANS enumera los 5 ciberataques más duros en la RSA
*Fuente IB- Group