Un investigador especialista en ransomware ha descubierto una falla en el código de LockBit que podría haber sido utilizada para remover el cifrado de forma gratuita y sin tener que negociar con los actores de amenazas. LockBit es una de las variantes de malware de cifrado más populares del momento, operando como una plataforma de ransomware como servicio (RaaS) al menos desde enero de 2020.
Al igual que en otras plataformas RaaS, los clientes de LockBit se encargan de los ciberataques para infectar la red afectada con esta variante de ransomware, exigiendo a los administradores el pago de un rescate para restablecer los sistemas a la normalidad.
Este pago debe realizarse a través de una plataforma alojada en dark web, usualmente en criptomoneda. Los operadores de LockBit incluso ofrecen a las víctimas la posibilidad de descifrar un archivo de forma gratuita, como confirmación de que los cibercriminales cuentan con la herramienta de descifrado adecuada.
Sobre la falla encontrada por el investigador, el reporte fue publicado en un foro de hacking ilegal en el que se menciona que un error en el mecanismo de cifrado gratuito descrito anteriormente podría haber sido explotado para descifrar archivos de forma ilimitada. Aunque este reporte no incluía pruebas adicionales, las afirmaciones fueron confirmadas por Bassterlord, un reconocido hacker ruso que ha colaborado con múltiples grupos de ransomware, incluyendo LockBit, REvil, Avaddon y RansomExx.
Al igual que en incidentes similares reportados anteriormente, la comunidad de la ciberseguridad espera que los desarrolladores del malware actualicen su código. Un reciente reporte de Malwarebytes menciona que la plataforma estuvo fuera de servicio un par de días, lo que podría significar que el malware ya ha sido actualizado.
Si bien era complicado que las víctimas lograran recuperar toda su información cifrada, sin duda este error pudo haber sido explotado de forma masiva por un gran número de víctimas.
Esta falla sin duda habría resultado algo benéfico para las víctimas de esta variante de malware, por lo que en la comunidad de la ciberseguridad ha comenzado un nuevo debate sobre las políticas para abordar una infección de este tipo. John Fokker, director de investigación de seguridad de McAfee, cree que lo ideal sería que se informe de cualquier error relacionado con estas infecciones a los encargados del proyecto de seguridad No More Ransom, o bien a las firmas de servicios de ciberseguridad.
“Estas organizaciones cuentan con mecanismos perfectamente establecidos para utilizar esta información para bien de las víctimas del cibercrimen antes de que los desarrolladores de malware puedan corregir los errores”, menciona el experto.
Fokker también considera que esta recomendación aplica para todas las posibles víctimas de ransomware, desde usuarios individuales hasta organizaciones completas, además de investigadores independientes y firmas de seguridad.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
