El grupo de ransomware LockBit está mejorando las defensas contra los ataques de denegación de servicio distribuido (DDoS), ya que tienen un sitio de filtraciones, y trabajando para llevar la operación al triple nivel de extorsión. La pandilla sufrió recientemente un ataque DDoS, que impidió el acceso a los datos publicados en su sitio de […]
El grupo de ransomware LockBit está mejorando las defensas contra los ataques de denegación de servicio distribuido (DDoS), ya que tienen un sitio de filtraciones, y trabajando para llevar la operación al triple nivel de extorsión.
La pandilla sufrió recientemente un ataque DDoS, que impidió el acceso a los datos publicados en su sitio de filtraciones de datos. Esto de acuerdo a BleepingComputer sería un contraataque de la empresa Entrust,
Los datos de Entrust fueron robados por el ransomware en cuestión el 18 de junio pasado. La empresa no pagó el rescate y LockBit anunció que publicaría todos los datos robados el 19 de agosto. Sin embargo, esto no sucedió porque el sitio de fuga de la pandilla fue atacado por un ataque DDoS que se cree que está conectado a Entrust.
A principios de esta semana, LockBitSupp, la figura pública de la operación de ransomware LockBit, anunció que el grupo está de vuelta en el negocio con una infraestructura más grande para dar acceso a las fugas, sin inmutarse por los ataques DDoS.
El DDoS del fin de semana pasado -que detuvo temporalmente la filtración de datos de Entrust- se vio como una oportunidad para explorar la táctica de la triple extorsión para aplicar más presión a las víctimas para que paguen un rescate.
LockBitSupp afirmó que ahora están buscando agregar DDoS como una táctica de extorsión además de cifrar datos y filtrarlos.
“Estoy buscando dudosers [DDoSers] en el equipo, lo más probable es que ahora ataquemos objetivos y proporcionemos triple extorsión, encriptación + fuga de datos + dudos, porque he sentido el poder de los dudos y cómo vigoriza y hace que la vida sea más interesante”.
Grupo Lockbit
Fuga de datos de Entrust
La pandilla también prometió compartir a través de un torrent 300 GB de datos robados de Entrust para que “el mundo entero conozca sus secretos”.
El portavoz de LockBit dijo que compartirían la fuga de datos de Entrust en privado con cualquier persona que los contacte antes de ponerlos a disposición a través de torrent.
Y parece que LockBit cumplió su promesa y lanzó este fin de semana un torrent llamado “entrust.com” con 343 GB de archivos:
Los operadores querían asegurarse de que los datos de Entrust estuvieran disponibles desde múltiples fuentes y, además de publicarlos en su sitio, también compartieron el torrent en al menos dos servicios de almacenamiento de archivos, uno de los cuales ya no está disponible.
Defensas DDoS
Un método ya implementado para prevenir más ataques DDoS es usar enlaces únicos en las notas de rescate para las víctimas.
“La función de aleatorización de enlaces en las notas del casillero ya se implementó, cada compilación del casillero tendrá un enlace único que el dudoser [DDoSer] no podrá reconocer”, publicó LockBitSupp.
También anunciaron un aumento en la cantidad de espejos y servidores duplicados, y un plan para aumentar la disponibilidad de los datos robados haciéndolos accesibles también a través de clearnet, a través de un servicio de almacenamiento a prueba de balas.
Después de publicar este artículo, BleepingComputer se enteró de que LockBit ha hecho que los datos robados de Entrust estén disponibles a través de clearnet, en un sitio web que proporciona archivos por un período limitado.
La pandilla enumera más de 700 víctimas y Entrust es una de ellas, con datos de la compañía filtrados el 27 de agosto.