AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Ciberbandas de Extorsión Unen Fuerzas Tras el Lanzamiento de LockBit 5.0

admin

#### Introducción

En un movimiento sin precedentes dentro del ecosistema del cibercrimen, tres de las principales bandas especializadas en extorsión digital han anunciado una colaboración estratégica, invitando abiertamente a otros grupos de cibercriminales a compartir información operativa, recursos y tácticas. Esta alianza surge tras la reciente publicación de LockBit 5.0, la última versión de uno de los ransomware-as-a-service (RaaS) más sofisticados y prolíficos del mercado negro digital. El salto cualitativo de LockBit y la consiguiente respuesta de otras ciberbandas suponen un considerable desafío para la defensa cibernética empresarial y gubernamental.

#### Contexto del Incidente o Vulnerabilidad

La aparición de LockBit 5.0 ha supuesto una auténtica revolución en el panorama del ransomware. Su predecesor, LockBit 3.0, ya era conocido por su automatización avanzada, velocidad de cifrado y agresivas técnicas de doble extorsión, pero la nueva iteración incorpora funcionalidades aún más depuradas de evasión y persistencia. Aprovechando este contexto, tres grupos de extorsión de alto perfil –cuyos nombres no han sido revelados por motivos de investigación– han hecho pública una convocatoria para sumar fuerzas con otros actores de e-crimen, con el objetivo de intercambiar TTPs (Tácticas, Técnicas y Procedimientos), vectores de ataque y herramientas, consolidando así un frente común frente a la creciente presión de las fuerzas de seguridad y de la industria de ciberdefensa.

#### Detalles Técnicos

LockBit 5.0 introduce mejoras significativas en su cifrado, ahora compatible con algoritmos híbridos (AES+RSA), y refuerza su capacidad de desplazamiento lateral empleando exploits recientes para vulnerabilidades conocidas, como CVE-2023-34362 (MOVEit Transfer) y CVE-2023-0669 (GoAnywhere MFT). Su infraestructura de C2 (comando y control) es más descentralizada, dificultando el rastreo y el takedown de servidores. Además, las bandas implicadas han anunciado el uso compartido de frameworks como Metasploit, Cobalt Strike y la integración de herramientas de exfiltración como Rclone y MEGA CLI, facilitando la filtración masiva de datos antes del cifrado.

Dentro de la matriz MITRE ATT&CK, los grupos colaboran activamente en las siguientes fases:

– **Initial Access:** Phishing, explotación de RDP y vulnerabilidades zero-day.
– **Persistence:** Creación de cuentas administrativas, registro de servicios y manipulación de GPOs.
– **Defense Evasion:** Uso de signed binaries, obfuscation y desactivación de EDRs.
– **Exfiltration:** Uso de canales cifrados y almacenamiento en la nube fuera de jurisdicciones europeas.

Los indicadores de compromiso (IoC) asociados a LockBit 5.0 incluyen hashes SHA-256 de muestras identificadas, direcciones IP de C2, y rutas de archivos temporales donde se almacenan las notas de rescate.

#### Impacto y Riesgos

La colaboración entre bandas de extorsión supone una profesionalización del cibercrimen, con riesgos incrementados para organizaciones de todos los sectores. Según datos de Coveware y Sophos, en 2023 el 67% de las víctimas de ransomware experimentaron doble o triple extorsión, y el tiempo medio de recuperación superó los 24 días. El coste medio de rescate exigido por LockBit supera los 500.000 dólares por incidente, y los daños colaterales –interrupción de negocio, sanciones regulatorias (GDPR, NIS2) y pérdida de reputación– multiplican esa cifra.

#### Medidas de Mitigación y Recomendaciones

Para reducir la superficie de exposición frente a amenazas como LockBit 5.0 y sus aliados, se recomienda:

– Actualización inmediata de todos los sistemas vulnerables, especialmente aplicaciones de transferencia de archivos (MOVEit, GoAnywhere).
– Refuerzo de medidas de autenticación multifactor (MFA) y segmentación de red.
– Monitorización continua de logs y endpoints, aplicando reglas YARA e IOCs conocidos.
– Simulacros de respuesta ante incidentes y análisis forense proactivo.
– Evaluación de la cadena de suministro y control de accesos de terceros.
– Copias de seguridad offline y verificación de su integridad.
– Adopción de frameworks de cyber resilience alineados con NIS2 y el Esquema Nacional de Seguridad.

#### Opinión de Expertos

Investigadores de firmas como Mandiant y CrowdStrike advierten que la alianza entre ciberbandas marca el inicio de una “industrialización del ransomware”, donde la compartición de recursos y know-how acelera el ciclo de ataque y reduce los tiempos de detección. “Estamos presenciando la evolución del cibercrimen organizado hacia modelos colaborativos similares a los de la economía legítima”, señala un analista de Kaspersky. “La convergencia de TTPs entre grupos acelera la propagación de exploits y la adopción de nuevas técnicas de evasión”.

#### Implicaciones para Empresas y Usuarios

Para los CISOs y responsables de seguridad, este nuevo escenario obliga a replantear las estrategias de defensa: ya no basta con blindar el perímetro, sino que es imprescindible adoptar una postura de Zero Trust, reforzar la inteligencia de amenazas y preparar planes de respuesta ante incidentes multidisciplinares. Para los usuarios finales, aumenta la exposición a campañas de phishing y robo de credenciales, por lo que la formación y la concienciación siguen siendo críticas.

#### Conclusiones

La colaboración entre bandas de extorsión, catalizada por la aparición de LockBit 5.0, representa uno de los mayores retos para la ciberseguridad en 2024. Las organizaciones deben intensificar la vigilancia, invertir en inteligencia de amenazas y fortalecer sus capacidades de respuesta, para anticiparse a una amenaza cada vez más sofisticada, colaborativa y rentable para los atacantes.

(Fuente: www.darkreading.com)