Publicación del informe de análisis del ransomware LockBit 3.0.

Entre el 24 de marzo y la primera semana de abril de este año, el ciberespacio de Vietnam fue testigo de una serie de ataques de ransomware dirigidos contra grandes empresas vietnamitas que operan en sectores críticos como el financiero, el bursátil, el energético y el de las telecomunicaciones. Estos ataques provocaron interrupciones del sistema durante un tiempo, lo que resultó en importantes pérdidas económicas y daños a la reputación de las entidades afectadas.

Tras analizar e investigar las causas y los grupos que han atacado recientemente los sistemas de información de empresas vietnamitas, las autoridades han descubierto que estos incidentes son producto de diversos grupos de ataque, como LockBit, BlackCat, Mallox, etc. En particular, en relación con el ataque de ransomware contra el sistema de VNDIRECT ocurrido a las 10:00 a. m. del 24 de marzo, que cifró todos los datos de una empresa que se encuentra entre las tres principales del mercado de valores vietnamita, las autoridades han identificado a LockBit y su malware LockBit 3.0 como los autores.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
El Centro Nacional de Seguridad Cibernética, Departamento A05 ( Ministerio de Seguridad Pública ) ha confirmado que el ataque al sistema de la compañía de valores VNDIRECT en marzo de 2024 fue llevado a cabo por LockBit 3.0.

A nivel mundial , el grupo LockBit ha lanzado numerosos ataques de ransomware dirigidos a grandes empresas y organizaciones. Por ejemplo, en junio y octubre de 2023, este conocido grupo de ransomware atacó al fabricante de semiconductores TSMC (Taiwán, China) y a la empresa de productos y servicios de TI CDW, exigiéndoles rescates de entre 70 y 80 millones de dólares.

Con el objetivo de ayudar a las agencias, organizaciones y empresas de Vietnam a comprender mejor el nivel de peligro y cómo prevenir y mitigar los riesgos de los ataques de ransomware en general, así como los ataques del grupo LockBit en particular, el Centro Nacional de Monitoreo de Seguridad Cibernética - NCSC bajo el Departamento de Seguridad de la Información (Ministerio de Información y Comunicaciones) ha compilado información de fuentes en línea y ha publicado el 'Informe de análisis sobre LockBit 3.0 Ransomware'.

El grupo de ransomware más peligroso del mundo.

El nuevo informe del NCSC se centra en cuatro puntos principales, entre ellos: información sobre el grupo de ataque de ransomware LockBit; clústeres activos de LockBit; una lista de indicadores de ciberataques relacionados con LockBit 3.0 registrados; y métodos para prevenir y mitigar los riesgos de los ataques de ransomware.

El informe del NCSC, que identifica a LockBit como uno de los principales grupos de ransomware del mundo, también afirma que, desde su aparición en 2019, ha llevado a cabo numerosos ataques contra empresas y organizaciones de diversos sectores. El grupo opera con un modelo de ransomware como servicio (RaaS), que permite a los cibercriminales implementar ransomware y compartir las ganancias con quienes lo respaldan.

ransomware lockbit.jpg
Según los expertos, LockBit es uno de los grupos de ransomware más peligrosos del mundo. (Ilustración: Bkav)

Cabe destacar que, en septiembre de 2022, el código fuente de LockBit 3.0, que incluía varios nombres que podrían haber sido utilizados para desarrollar este ransomware, fue filtrado por un individuo llamado "ali_qushji" en la plataforma X (anteriormente Twitter). Esta filtración permitió a los expertos analizar el ransomware LockBit 3.0 con mayor profundidad, pero desde entonces, los cibercriminales han creado una oleada de nuevas variantes de ransomware basadas en el código fuente de LockBit 3.0.

Además de analizar los métodos de ataque de los clústeres activos de ransomware LockBit, como TronBit, CriptomanGizmo y Tina Turnet, el informe del NCSC también proporciona a las agencias pertinentes una lista de indicadores de ataques IOC (Crimen Operacional Inteligente) registrados relacionados con LockBit 3.0. «Actualizaremos continuamente los indicadores IOC en la página alert.khonggianmang.vn del portal nacional de ciberseguridad», declaró un experto del NCSC.

Una sección particularmente importante del Informe de Análisis de Ransomware LockBit 3.0 es la orientación brindada a agencias, organizaciones y empresas sobre cómo prevenir y mitigar los riesgos de ataques de ransomware. Los expertos del NCSC siguen recomendando la implementación de las recomendaciones importantes para apoyar a las entidades vietnamitas en la prevención y respuesta a ataques de ransomware, descritas por el Departamento de Ciberseguridad en el Manual de Medidas para Prevenir y Mitigar los Riesgos de Ataques de Ransomware, publicado el 6 de abril.

W-phong-chong-tan-cong-ransomware-1.jpg
La monitorización continua para detectar tempranamente intrusiones en el sistema es una de las nueve medidas que la Agencia de Ciberseguridad recomienda a las organizaciones para prevenir ataques de ransomware. (Ilustración: Khanh Linh)

Según los expertos, los ataques actuales de ransomware suelen originarse en una vulnerabilidad de seguridad dentro de una organización. Los atacantes se infiltran en el sistema, mantienen su presencia, amplían su alcance, controlan la infraestructura de TI de la organización y paralizan el sistema, con el objetivo de obligar a las organizaciones víctimas a pagar un rescate para recuperar sus datos cifrados.

En declaraciones a los periodistas de VietNamNet cinco días después del ataque al sistema VNDIRECT, un representante del Departamento de Seguridad de la Información, hablando desde la perspectiva de la unidad que coordina la respuesta al incidente, afirmó: Este incidente es una lección importante para crear conciencia sobre la ciberseguridad entre las organizaciones y empresas en Vietnam.

Por lo tanto, las agencias, organizaciones y empresas, especialmente aquellas que operan en sectores críticos como finanzas, banca, valores, energía y telecomunicaciones, necesitan revisar y fortalecer de manera urgente y proactiva tanto sus sistemas de seguridad existentes como su personal, al tiempo que desarrollan planes de respuesta a incidentes.

Las organizaciones deben cumplir estrictamente con las regulaciones, requisitos y directrices sobre seguridad de la información y ciberseguridad emitidas. Es responsabilidad de cada organización y empresa protegerse a sí misma y a sus clientes de posibles riesgos de ciberataques, enfatizó un representante del Departamento de Seguridad de la Información.

El ransomware LockBit se conoció inicialmente como ABCD, nombre que deriva de la extensión del archivo cifrado. Tras unos meses, apareció una variante de ABCD con su nombre actual, Lockbit. Un año después, el grupo lanzó una versión mejorada, LockBit 2.0 (también conocida como LockBit Red), que incluía otro malware integrado llamado StealBit, destinado a robar datos confidenciales. LockBit 3.0, o LockBit Black, es la versión más reciente, lanzada en 2022, con nuevas funciones y técnicas avanzadas de elusión de seguridad.
¿Por qué el sistema PVOIL pudo recuperarse tan rápidamente después de un ataque de ransomware?

¿Por qué el sistema PVOIL pudo recuperarse tan rápidamente después de un ataque de ransomware?

Además de su tamaño de sistema relativamente pequeño, un factor crucial que permitió a PVOIL resolver rápidamente el ataque de ransomware y restaurar las operaciones en tan solo unos días fueron sus datos de respaldo.
Desarrollar una cultura de seguridad para mejorar las defensas contra ataques de ransomware.

Desarrollar una cultura de seguridad para mejorar las defensas contra ataques de ransomware.

Según CDNetworks Vietnam, al invertir en la capacitación de los empleados, fomentar una cultura de seguridad y promover la colaboración entre los empleados y los equipos de seguridad, las empresas pueden mejorar sus defensas contra los ciberataques, incluidos los ataques de ransomware.
Pagar un rescate por datos alentará a los piratas informáticos a aumentar los ataques de ransomware.

Pagar un rescate por datos alentará a los piratas informáticos a aumentar los ataques de ransomware.

Los expertos coinciden en que las organizaciones afectadas por ataques de ransomware no deberían pagar el rescate a los hackers. Hacerlo los animaría a atacar otros objetivos o a otros grupos a atacar de nuevo los sistemas de la organización.