La compañía de ciberseguridad Kaspersky ha advertido sobre cómo los actores de amenazas están explotando hasta límites sospechados el uso del constructor del conocido ransomware Lockbit 3.0, generando una cantidad sustancial de variantes.
Este 'builder' fue filtrado el año pasado y, ya en manos de distintos piratas informáticos, está sirviendo para crear 'mutaciones del peligroso ransomware.
En concreto, la firma de origen ruso asegura que detectó una intrusión que implementaba una versión de Lockbit, pero con un procedimiento de demanda de rescate bastante distinto.
Esta nota especificaba la cantidad a pagar directamente para obtener las claves de descifrado y dirigía las comunicaciones a un servicio Tox y a un correo electrónico, a diferencia de lo que suele hacer Lockbit, que no hace mención a la cifra del rescate y usa una plataforma propia para las negociaciones y comunicaciones con las víctimas.
"El atacante detrás de este incidente decidió utilizar una nota de rescate diferente con un titular relacionado con un grupo previamente desconocido, llamado National Hazard Agency (Agencia Nacional de Peligros)", han explicado los investigadores de seguridad Eduardo Ovalle y Francesco Figurelli.
Sin embargo, National Hazard Agency, es solo una de las bandas de cibermalos que se sirve del constructor de Lockbit 3.0 filtrado. También se tiene constancia de otros actores de amenazas que lo usan, como Bl00dy y Buhti.
Más de 300 variantes generadas
En total Kaspersky contabiliza nada menos que 396 muestras distintas del famoso ransomware en su telemetría. De ellas, 312 han sido creadas usando el builder que se ha hecho de dominio público. Unas 77 no hacen referencia a Lockbit en la nota de rescate.
"Muchos de los parámetros detectados corresponden a la configuración predeterminada del constructor, sólo algunos contienen cambios menores", aseveran los investigadores.
"Esto indica que las muestras probablemente fueron desarrolladas para necesidades urgentes o posiblemente por actores perezosos", concluyen.