Los ataques de ransomware se han convertido en la principal amenaza de ciberseguridad para las organizaciones tanto en el sector público como en el privado. Parece que a medida que los hackers adquieren más experiencia, se vuelven mejores: los mayores ataques de ransomware han obligado a las empresas a pagar rescates de hasta $40 millones. Esto se debe en gran parte a la mejora de la capacidad del ransomware en sí. A medida que los hackers reclaman rescates cada vez más grandes, reinvierten sus ganancias ilícitas en mejorar su software e investigar métodos para evadir las medidas de seguridad. Lockbit 2.0 es una de las variedades más nuevas y temidas de ransomware, y ha afectado a varias empresas importantes desde su lanzamiento en julio de 2021, incluyendo Bangkok Airways y la firma de consultoría Accenture. La efectividad de Lockbit 2.0 demuestra que hay una carrera armamentista entre los hackers y los equipos de ciberseguridad, y por el momento, parece que los hackers están ganando.

Ransomware como servicio

Entonces, ¿qué hace que Lockbit 2.0 sea tan mortal? Para entender la respuesta a esta pregunta, es importante comprender que el mercado del ransomware funciona de manera similar al mercado de software legal. Lockbit 2.0 es una banda de Ransomware como servicio (RaaS). Los desarrolladores del software en sí no hackean las redes individuales. En cambio, encuentran socios para hacerlo por ellos y se llevan un porcentaje de las ganancias. El objetivo de las bandas de RaaS es atraer a tantos afiliados como sea posible, y los mejores afiliados posibles. Producir software de la mejor calidad significa reclutar a los hackers más talentosos, que probablemente puedan atacar objetivos más grandes y lucrativos. Los hackers “comparan” las mejores características, al igual que cualquier persona que intenta decidir qué software comprar. Lockbit 2.0 afirma tener las mejores características disponibles en el mercado, y hasta ahora, parece que esas afirmaciones son precisas. Según algunas medidas, desde el lanzamiento de Lockbit 2.0, se ha utilizado en seis veces más ataques que Conti, otra banda importante de ransomware. Esto indica que ha ganado mucha popularidad entre los afiliados. Esta competencia en el mercado del ransomware está empujando a los hackers a producir continuamente un mejor software, elevando cada vez más el listón y ayudándolos a mantenerse por delante de los equipos de ciberseguridad.

Características de Lockbit 2.0

Entonces, ¿cómo logró Lockbit 2.0 atraer a tantos afiliados? Según su sitio web oscuro, uno de los principales puntos de venta es la velocidad con la que puede cifrar archivos. La banda afirma que su software puede cifrar 373 MB por segundo, lo cual es más del doble de la velocidad del siguiente competidor, el ransomware BlackMatter, que presume de una velocidad de cifrado de 185 MB por segundo. El tamaño del rescate que se puede solicitar en un ataque de ransomware depende de cuántos datos puedan cifrar los atacantes, por lo que cuanto más rápido funcione el ransomware, más daño puede hacer. La velocidad es muy importante, porque una vez que el ransomware comienza a cifrar una red, es solo cuestión de tiempo antes de que los usuarios se den cuenta y cierren la red para contener el ataque. Lockbit 2.0 logra esto utilizando un método único en el que cifran solo una pequeña cantidad de datos en cada archivo, lo suficiente para hacer que el archivo sea ilegible. El otro punto de venta principal anunciado por la banda es la velocidad a la que puede robar datos. La mayoría de los hackers de ransomware han pasado a realizar ataques de doble extorsión en los últimos meses. Los ataques de doble extorsión intentan coaccionar a las víctimas para que paguen un rescate amenazando con revelar datos sensibles como registros médicos o legales o secretos comerciales al público. Afirman que su tasa de robo de datos supera a la competencia por un margen aún mayor: 83 MB por segundo, en comparación con los 4 MB por segundo de la competencia. Lockbit 2.0 logra esto integrando la compresión en tiempo real en el proceso de carga. Además de un mejor rendimiento, Lockbit 2.0 también incorpora una nueva técnica de implementación que altera Windows para evitar la detección. Todas estas características significan que si los atacantes ingresan a una red, pueden causar mucho más daño que con otras variedades de ransomware.

Cómo defenderse contra el ransomware

Todo esto puede parecer muy intimidante. El ransomware de alta tecnología de última generación que puede evadir las últimas medidas de seguridad y superar al mejor equipo de ciberseguridad puede parecer un desafío insuperable. En realidad, la gran mayoría de los ataques de ransomware ocurren debido a errores simples que se pueden prevenir con un esfuerzo mínimo. La causa más común de infecciones de ransomware es el phishing, donde los atacantes engañan a un empleado para que haga clic en un enlace malicioso o abra un archivo adjunto en un correo electrónico. Algunos de estos trucos pueden ser muy persuasivos; por ejemplo, los hackers a veces pueden hackear el correo electrónico de un compañero de trabajo y enviar un mensaje muy convincente pidiendo a un empleado que abra un enlace. La mejor defensa contra esto es contratar trabajadores con conocimientos técnicos y buenos conocimientos básicos de ciberseguridad, pero muchas empresas están llevando a cabo capacitaciones de concientización sobre phishing para prevenir errores humanos que podrían llevar a un ataque. Los protocolos de escritorio remoto también son un vector de ataque favorito para los hackers. Sorprendentemente, muchos usuarios de RDP utilizan contraseñas débiles, y los hackers frecuentemente las acceden mediante ataques de fuerza bruta simples. Una buena configuración de respaldo también es una herramienta poderosa para reducir el riesgo de un devastador ataque de ransomware. Un respaldo físicamente aislado actualizado con frecuencia puede evitar que los hackers cierren una red durante un período de tiempo prolongado. Sin embargo, los buenos respaldos no pueden evitar el robo y la extorsión de datos, pero una arquitectura de red bien planificada puede hacerlo. Cifrar datos sensibles y requerir pasos adicionales para acceder a ellos, como contraseñas de un solo uso, dificulta mucho que los hackers accedan a datos valiosos. Por último, pero no menos importante, es muy importante mantenerse siempre actualizado con todos los parches y actualizaciones. Esto puede requerir asegurarse de que todo el equipo conectado a una red tenga soporte actualmente. Estas medidas simples pueden dificultar mucho la vida de los hackers de ransomware y reducir drásticamente la incidencia de ataques de ransomware, incluidos los ataques de Lockbit 2.0.