Una filtración de LockBit muestra que los afiliados usan tácticas de presión y rara vez reciben pagos.

LockBit, una de las bandas de ransomware más prolíficas de la actualidad, fue víctima de una vulneración la semana pasada, lo que reveló con claridad sus operaciones internas. Los archivos filtrados, accesibles brevemente a través de un sitio web onion en la red Tor, permitieron a investigadores y profesionales de la seguridad una visión excepcional de cómo LockBit gestiona su operación de ransomware como servicio ( RaaS ).

Se cree que la brecha se originó por alguien con acceso a la infraestructura de LockBit, que expuso registros de chat, registros de compilación de ransomware, archivos de configuración, direcciones de billetera Bitcoin e identificadores de afiliados. Si bien los grupos de ransomware suelen ser los más destacados, esta vez se han convertido en objeto de análisis.

Rhys Downing, analista del Centro de Operaciones de Seguridad de Ontinue, dirigió la revisión exhaustiva de los datos filtrados. Su trabajo detalla los métodos operativos del programa de afiliados de LockBit, incluyendo cómo los atacantes crean cargas útiles, calculan las exigencias de rescate y llevan a cabo negociaciones.

El análisis de Downing también revela la naturaleza estructurada del ecosistema de LockBit y desglosa la infraestructura del grupo, revelando cuán organizada se ha vuelto esta red criminal.

Uno de los datos más importantes filtrados es una tabla conocida internamente como "builds", que registra cada carga útil de ransomware creada por los afiliados de LockBit. Cada registro incluye detalles como el ID del afiliado, las claves de cifrado públicas y privadas, las referencias de las empresas objetivo y las solicitudes de rescate declaradas.

Estas estimaciones fueron ingresadas manualmente por los propios atacantes antes de lanzar las cargas útiles, lo que reveló información sobre sus estrategias de precios y selección de objetivos. Algunas exigencias de rescate fueron exageradas; entradas como "303kkk" (303 millones de dólares) parecen ser datos de prueba, pero otras mostraron un enfoque más calculado. Por ejemplo, un afiliado registró cuatro compilaciones con un valor declarado combinado de más de 168 millones de dólares.

A pesar de cientos de versiones de ransomware y agresivas exigencias de rescate, solo 7 de las 246 víctimas registraron un pago. Curiosamente, ninguna confirmó haber recibido una herramienta de descifrado. No está claro si esto se debió a que los datos estaban incompletos o a que alguien los omitió a propósito.

Las cifras dejan claro que la mayoría de las víctimas no pagan, y aún menos reciben algo a cambio. Esto coincide con la reciente filtración de datos de PowerSchool , donde la empresa de tecnología educativa pagó un rescate no revelado a ciberdelincuentes para evitar más consecuencias, pero los atacantes volvieron con más exigencias, esta vez dirigidas a profesores y estudiantes.

En cuanto a LockBit, la base de datos filtrada mostró que el campo marcado como comisiones pagadas a los afiliados fue mayor que cero en tan solo el 2,8 % de los casos. Pero ni siquiera esto constituye una prueba definitiva del pago del rescate.

Según el Informe de Amenazas Continuas , también se filtraron más de 4000 transcripciones de chats entre afiliados de LockBit y víctimas. Estos mensajes muestran una combinación de presión calculada, manipulación emocional y amenazas directas. En varios casos, los afiliados desestimaron las peticiones de clemencia y duplicaron el precio de los rescates sin previo aviso.

Un afiliado respondió a una empresa que afirmaba ser pequeña: “Your size is irrelevant. Your data is valuable.”

Otra conversación contenía un mensaje que promocionaba el programa de afiliados de LockBit con una peculiar propuesta de reclutamiento: “Want a Lamborghini, a Ferrari and lots of ti**y girls? Sign up and start your pentester billionaire journey in 5 minutes with us.”

Estas conversaciones demuestran que los afiliados de LockBit actúan más como vendedores agresivos que como hackers o ciberdelincuentes. Las tácticas varían desde la presión psicológica hasta las advertencias contra la intervención de las fuerzas del orden o las aseguradoras.

Lo más destacable de los datos es el nivel de organización. LockBit utiliza generadores de carga útil modulares, paneles de control para afiliados y una sólida infraestructura de backend. Los afiliados pueden ajustar las configuraciones de compilación para controlar todo, desde qué archivos cifrar hasta si el descifrador se borra automáticamente después de su uso.

Incluso ejecutaron un programa de recompensas por errores en uno de sus sitios Onion, ofreciendo recompensas por las vulnerabilidades que encontraran en su infraestructura.

La filtración también se relacionó con una acción policial anterior. La Operación Cronos , una campaña liderada por la Agencia Nacional contra el Crimen del Reino Unido y otras entidades, expuso previamente nombres de usuario vinculados a las operaciones de LockBit. Muchos de esos nombres de usuario se confirmaron en esta nueva filtración, coincidiendo con las identificaciones encontradas en los datos de la carga útil.

Usuarios notables incluidos:

• Ashlin con el mayor número de cargas útiles generadas

• Rich, Melville y Merrick como otros operadores de gran volumen

Esta conexión confirma además que el equipo principal de la pandilla y sus afiliados de alto nivel se han mantenido consistentes incluso después de los intentos de desmantelamiento anteriores .

En resumen, el análisis de la filtración de datos de Ontinue aclara algunos aspectos, como que LockBit funciona como una franquicia: ellos proporcionan el malware, sus afiliados ejecutan los ataques y todos se llevan una parte del rescate.

Esta filtración muestra que muchos afiliados tratan sus ataques como llamadas de ventas, registrando las ganancias esperadas, gestionando negociaciones y siguiendo pasos estructurados para presionar a las víctimas. Pero, al igual que un intento fallido de vender algo, la mayoría de estos intentos parecen fracasar.

Según Saeed Abbasi , Gerente de Investigación de Vulnerabilidades de Qualys, la brecha constituye una valiosa fuente de inteligencia para los defensores. «Al comprender los sistemas a los que LockBit atacó y cómo sus afiliados personalizaron las cargas útiles, los equipos de seguridad pueden priorizar mejor la aplicación de parches, reforzar los sistemas desatendidos y optimizar los controles de acceso básicos», afirmó.

El uso de Tor por parte de LockBit sigue siendo una defensa clave, lo que dificulta el desmantelamiento de sus sitios. Sin embargo, la filtración sugiere que ningún sistema, ni siquiera uno operado por ciberdelincuentes, es verdaderamente seguro.

La brecha de seguridad de LockBit ha revelado una operación de ransomware que ha afectado a empresas de todo el mundo . Confirma lo que los expertos en seguridad llevaban años sospechando: los grupos de ransomware funcionan como empresas, con todo incluido: incorporación de afiliados, gestión de infraestructura y planificación financiera.