LockBit hackeó en enero pasado el Royal Mail del Reino Unido y detuvo los envíos de correo internacional. Menos de un mes después, afectó a una empresa británica de tecnología financiera, paralizando el comercio mundial de derivados. Ha paralizado el puerto marítimo más grande de Japón y afectado el negocio de distribución y repuestos de Boeing.
Pero podría decirse que ninguno de los recientes ataques cibernéticos orquestados por LockBit, una de las bandas de ransomware más prolíficas de todos los tiempos, ha sacudido más al mundo financiero que su ataque al Industrial & Commercial Bank of China. La violación revelada el jueves por el mayor prestamista global por Los activos totales bloquearon la compensación de algunas operaciones en el mercado del Tesoro, lo que obligó a los corredores y comerciantes a desviar las transacciones.
“Esto es un verdadero shock”, dijo Marcus Murray, fundador de la empresa sueca de ciberseguridad Truesec. Es el tipo de ataque a gran escala y de alto perfil que “hará que los grandes bancos de todo el mundo se apresuren a mejorar sus defensas, a partir de hoy”.
La ‘empresa’ mundial de hackeos: Así es el modus operandi de LockBit
La devastación de LockBit ha tardado aproximadamente cuatro años en gestarse. El grupo ha estado activo al menos desde principios de 2020 y ha hackeado hasta mil víctimas en todo el mundo, extorsionando más de 100 millones de dólares en demandas de rescate, según el Departamento de Justicia de Estados Unidos. Los miembros del grupo han estado vinculados a Rusia y participan activamente en foros de cibercriminales en idioma ruso, según expertos de la industria.
La pandilla es lo que se conoce como una empresa de “ransomware como servicio”. Los hackers informáticos de Core LockBit desarrollan malware y otras herramientas. Luego, los ciberdelincuentes independientes se registran en LockBit para obtener acceso a sus herramientas e infraestructura y realizar el hackeo ellos mismos.
Cuando los ataques tienen éxito, LockBit recibe una comisión, normalmente alrededor del 20 por ciento de cualquier rescate pagado, según empresas de ciberseguridad.
“Lo manejan como un negocio, y esa es la mejor manera de explicarlo”, dijo Jon DiMaggio, estratega jefe de seguridad de Analyst1, en una entrevista a principios de este año. “El fundador de LockBit lo dirige como si fuera Steve Jobs, lo cual es un éxito para ellos, pero una muy mala noticia para el resto de nosotros”.
Los hackers informáticos de LockBit utilizan el llamado ransomware para infiltrarse en los sistemas y mantenerlos como rehenes. Exigen un pago para desbloquear las computadoras que han comprometido y, a menudo, amenazan con filtrar datos robados para presionar a las víctimas a pagar.
Las víctimas de la pandilla se encuentran en Europa y Estados Unidos, así como en China, India, Indonesia y Ucrania, según la firma de ciberseguridad Kaspersky.
LockBit: De los hackers más difíciles de rastrear en el mundo
Los investigadores han estudiado durante mucho tiempo las herramientas de hackeo de LockBit y han determinado que el grupo actualiza periódicamente su software malicioso para evitar la detección de productos de ciberseguridad. Una cepa de malware, denominada LockBit Black, demostró que la pandilla había experimentado con un tipo de malware que se propaga automáticamente y que facilitaría a los piratas informáticos infiltrarse en las organizaciones víctimas sin la experiencia técnica normalmente necesaria para hacerlo, escribieron los investigadores de Sophos Group. en una publicación de blog.
Se desconoce exactamente cuántas personas están involucradas en LockBit y dónde se encuentran, pero la pandilla ha dicho en su sitio web que no ataca a los países postsoviéticos porque la mayoría de sus desarrolladores y socios nacieron y crecieron allí.
Hasta el jueves 9 de noviembre por la noche, ICBC no había figurado en el sitio web de LockBit como víctima. Esto no es inusual, afirmó Mattias Wåhlén, experto en inteligencia de amenazas de Truesec. “Muchas notas de rescate iniciales contienen la oferta de que, si las víctimas pagan rápidamente, el grupo de ransomware no publicará el nombre de la víctima en absoluto, para evitar la vergüenza pública”.
Eric Noonan, director ejecutivo de la empresa de servicios de seguridad CyberSheath, describió LockBit como “el ransomware más implementado en el mundo en 2022″, y señaló que también ha estado “bastante activo” este año. Aun así, Noonan dijo: “Es realmente sorprendente que el objetivo fuera un banco chino”.
Debido a que el gobierno chino prohibió el comercio de criptomonedas (el método de pago preferido de los piratas informáticos), las pandillas no suelen atacar la región, según Wåhlén. China también ha sido considerada tradicionalmente un aliado de Rusia, dijo, lo que la convierte en un objetivo menor para quienes tienen vínculos con Rusia.
“Si ese objetivo resulta ser un error”, dijo Noonan, “podríamos ver que LockBit ayuda en la recuperación al proporcionar descifrado gratuito como lo ha hecho en el pasado cuando se ha atacado a las víctimas equivocadas”.
Los hackers informáticos de LockBit han dejado claro en el pasado que son igual de oportunistas. En una declaración emitida a principios del año pasado, se describieron a sí mismos como “apolíticos”.
“Para nosotros, es sólo un negocio”, dijo la pandilla. “Sólo nos interesa el dinero para nuestro trabajo útil e inofensivo”.