LockBit fue el grupo de ‘ransomware’ con más víctimas extorsionadas en 2023

Si hay un grupo de ransomware que ha destacado durante los últimos tiempos por su actividad y alcance, ese ha sido LockBit.

Planteado como RaaS (ransomware-as-a-service), lo que significa entregar infraestructura a otros ciberdelincuentes, fue el grupo de ransomware más dominante por número de víctimas extorsionadas en 2023.

Así lo desvela la compañía de seguridad Check Point Software, que sitúa la cifra final en más de 1000 empresas.

Los principales países afectados por sus acciones fueron Estados Unidos, Reino Unido, Francia, Alemania y Canadá, con especial incidencia en los sectores industrial y minorista.

LockBit ha estado activo desde septiembre de 2019 y ha aprovechado la doble extorsión para incrementar su efectividad, amenazando con la publicación de los datos robados en caso de no abonar el rescate.

Pero 2024 comienza diferente para LockBit. Su presencia ha sido eliminada de dos foros de hacking rusos bajo alegaciones de dudosa ética empresarial.

Esto conlleva una interrupción notable de sus operaciones y debería perjudicar a su capacidad para reclutar nuevos afiliados o retener a los ya existentes.

El futuro es incierto. “Por lo general, estos grupos tan populares no desaparecen, por lo que podemos esperar algún tipo de cambio de marca“, según Check Point Software.

“Las bandas de ransomware son muy resistentes y pueden reaparecer bajo una identidad diferente al poco tiempo”, explica el gerente del Grupo de Inteligencia de Amenazas de esta compañúa, Sergey Shykevich.

“La amenaza de esta banda de ciberdelincuentes y de otros grupos de ransomware continuará”, predice, por lo que “las empresas deben estar siempre alerta”.

Lo mismo opinan desde la firma de seguridad Sophos. “Lockbit se ha convertido en el grupo de ransomware más prolífico desde que Conti abandonó la escena a mediados de 2022, contextualiza Chester Wisniewski, director de Global Field CTO en esta empresa.

“La frecuencia de sus ataques, combinada con el hecho de no tener límites a la hora de paralizar infraestructuras, les ha convertido en los más destructivos de los últimos años”, analiza.

“Cualquier cosa que desestabilice sus operaciones y siembre la desconfianza entre sus miembros y proveedores es una gran victoria para las fuerzas del orden”, indica este experto.

“Sin embargo”, prosigue, “no deberíamos celebrarlo demasiado pronto. Gran parte de su infraestructura sigue online, lo que probablemente significa que está fuera del alcance de la policía y tampoco se ha informado de la detención de los ciberdelincuentes”.

Esto no es “una victoria completa, como ha ocurrido con Qakbot”, aunque “provocar su interrupción, alimentar su miedo a ser atrapados y aumentar la dificultad para que su sindicato criminal siga operando, continúa siendo una victoria”, opina Wisniewski.