En el vasto y oscuro universo del ciberespacio, los hilos de la malevolencia y la criminalidad se entrelazan en una red que, a menudo, es difícil de desentrañar. LockBit, un nombre que resuena con un eco siniestro en el mundo de la ciberseguridad, ha sido un actor persistente y pernicioso en el escenario de los ataques de ransomware. En esta ocasión, nos adentraremos en un incidente de extorsión de LockBit que tuvo lugar en el tercer trimestre de 2023, revelando una infraestructura de exfiltración que se extiende como una sombra sobre diversas actividades criminales.
Un Servidor FTP en Moscú: El Punto de Partida
La investigación de un incidente de extorsión reciente nos llevó a un servidor FTP inusual ubicado en Moscú. Este servidor, cuyo nombre de host coincidía con muchos otros encontrados en diversas publicaciones en el sitio de filtraciones de LockBit, se convirtió en el foco de nuestra exploración en las profundidades de una infraestructura criminal.
Bentley: Un Nombre, Múltiples Conexiones
Nuestra investigación reveló que este punto remoto está asociado con actividades criminales que se remontan hasta 2019, lo que indica que estos hosts estaban probablemente bajo el control de la misma administración técnica. Además, nuestros análisis vincularon este nombre de host particular con un individuo denominado “Bentley”, quien previamente fue el líder técnico y administrador de sistemas para el grupo Conti.
Info relacionada:
Conexiones Criminales: Más Allá de LockBit
Las conexiones entre una amplia gama de actividades cibercriminales se hicieron evidentes a medida que se profundizaba en los detalles técnicos del incidente. La infraestructura de exfiltración asociada con uno de los afiliados de LockBit más notorios, que también ha sido rastreado por CISA, reveló una red de actividades criminales que parecen estar todas bajo el control de una única y enigmática administración.
Un Hostname, Múltiples Víctimas
El hostname “WIN-XXXXXXXXXXX”, aunque a primera vista podría parecer insignificante, se convirtió en una pieza clave en el rompecabezas. La reutilización de este hostname en múltiples víctimas de LockBit no es una coincidencia, y esta correlación nos permitió identificar la conexión entre este afiliado particular y sus víctimas.
Descubriendo un Mundo de Actividades Maliciosas
A medida que se ampliaban las conexiones, descubrimos que este afiliado de LockBit estaba vinculado a una asombrosa variedad de operaciones maliciosas. Desde extorsiones antiguas de LockBit 2.0 hasta campañas de Ursnif dirigidas a Italia, el hostname se ha encontrado en diversas operaciones, todas apuntando a una administración técnica común.
Imágenes Doradas: Una Práctica Común, Un Vínculo Revelador
La conexión del hostname es particularmente heterogénea, pero técnicamente lógica. Los sysadmins, en prácticas comunes, a menudo dependen de las llamadas Imágenes Doradas: instantáneas de un sistema operativo preinstalado listo para ser personalizado para la aplicación particular, lo que sugiere que estamos viendo múltiples instancias generadas a partir de la misma imagen base.
Un Entrelazado de Crimen y Tecnología
La historia detrás de este incidente de LockBit, y las conexiones reveladas, nos lleva a través de un laberinto de criminalidad y tecnología, donde las actividades maliciosas se entrelazan y se ocultan detrás de una fachada de hostnames y servidores. Mientras las sombras de estas actividades se ciernen sobre el ciberespacio, la necesidad de desentrañar y entender estas conexiones se vuelve imperativa para proteger nuestros sistemas y datos en un mundo cada vez más digitalizado y vulnerable.
