La firma de ciberseguridad estadounidense, Mandiant, ha comentado que se encuentra investigando las afirmaciones realizadas por la banda de Ransomwarte, LockBit 2.0, luego de que el día de ayer (lunes 6 de junio de 2022) publicaran en su portal de filtraciones, el dominio de la firma de ciberseguridad, adjudicando de manera directa lo ocurrido.
Imagen: CronUp Ciberseguridad
Según la misma publicación, la banda estima que tiene un total de 356.841 archivos listos para filtrar en su página web en la red Tor.
Hasta este momento, la banda LockBit aún no ha revelado qué archivos afirma haber robado de los sistemas de la firma de ciberseguridad, ya que la lista de archivos en la página de filtración se encuentra casi «vacía». Esto es debido a que se muestra un archivo de 1.45 kb llamado ‘mandiantyellowpress.com.7z’ que parece estar relacionado con un dominio, mandiantyellowpress[.]com (registrado el día de ayer). Además de otro archivo, pero comprimido en 7zip, cuyo peso es de 2.34 MB. Más allá de ello, no se ha encontrado más archivos para analizar.
«Mandiant está al tanto de estas afirmaciones asociadas a LockBit. En este punto, no tenemos ninguna evidencia que respalde sus afirmaciones. Continuaremos monitoreando la situación a medida que se desarrolle«, dijo Mark Karayan, Gerente Senior de Comunicaciones de Marketing de Mandiant, al medio de noticias y ciberseguridad, BleepingComputer.
Las afirmaciones se producen después de que Mandiant revelara en un informe publicado la semana pasada, que el grupo de cibercriminales ruso, Evil Corp (Desarrolladores de Dridex), ahora ha cambiado a desplegar el ransomware LockBit en las redes objetivos para evadir las sanciones de los Estados Unidos.
Ahora, Después de que LockBit publicara los archivos, parece que no se trataba de archivos robados de la red de Mandiant, sino, en cambio, del grupo de ransomware que intentaba distanciarse de la banda de cibercrimen de Evil Corp.
Con las sanciones utilizadas como un medio para controlar los ataques de ransomware, a su vez prohibiendo a las víctimas negociar con los actores de amenaza, agregar un grupo de ransomware a una lista de sanciones, sin nombrar a las personas detrás de ella, también se ha complicado por el hecho de que los sindicatos de ciberdelincuentes a menudo tienden a cerrar, reagrupar y cambiar de marca bajo un nombre diferente para eludir la aplicación de la ley.
La adopción de un ransomware es una evolución natural para UNC2165 (Evil Corp), esto lo realizan con el fin intentar ocultar su afiliación con Evil Corp, dijo Mandiant, al tiempo que se asegura de que las sanciones no sean un factor limitante para recibir pagos de las víctimas.
Por ahora, no se descarta que en verdad la banda de LockBit 2.0 hayan logrado comprometer a la firma de ciberseguridad, Mandiant. Pero, tampoco hay que creer en todas las publicaciones que lanzan los actores de amenaza hasta que muestren evidencias de sus hechos. Mientras no se publiquen los 356.839 archivos restantes, se puede especular que el hecho es simplemente una posible cortina de humo o en términos más actuales (y más acorde al caso), todo esto ha sido una trolleada por parte de LockBit.
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
