LockBit lanza programa de recompensas por vulnerabilidades en ransomware

En un nuevo giro en el juego del ransomware, el grupo delictivo cibernético LockBit ha lanzado un programa de recompensas por errores prometiendo dinero a las personas dispuestas a compartir datos sensibles que puedan ser explotados en ataques de ransomware. Un reciente tuit publicado por la cuenta de vx-underground, que publica muestras de malware, indica que a través del nuevo programa de recompensas, LockBit pagará por información personalmente identificable sobre "individuos de alto perfil, exploits de seguridad web y más".

El programa de recompensas se presenta junto con el lanzamiento de LockBit 3.0, la última versión del producto de ransomware como servicio (RaaS) del grupo y que ya se está utilizando en nuevos ataques de ransomware. En su sitio de recompensas por errores de LockBit 3.0, el grupo invita a "todos los investigadores de seguridad, hackers éticos e inescrupulosos del planeta" a participar en su programa de recompensas por errores. Las recompensas por la filtración de datos personales varían desde $1,000 hasta $1 millón.

VER: Violación de contraseñas: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (Newsmatic)

Índice de Contenido
  1. Programas de recompensas por errores: una táctica utilizada por empresas legítimas y ahora por grupos de ransomware
  2. Una amplia gama de categorías de recompensas disponibles en el programa de LockBit
  3. La dependencia de LockBit de investigadores no éticos y hackers para participar en su programa de recompensas por errores

Programas de recompensas por errores: una táctica utilizada por empresas legítimas y ahora por grupos de ransomware

Los programas de recompensas por errores son típicamente utilizados por empresas legítimas como una forma de incentivar a los investigadores de seguridad y hackers a encontrar vulnerabilidades en su código de software. Este movimiento por parte de LockBit aparentemente es la primera vez que un grupo delictivo cibernético utiliza el mismo concepto, pero esta vez con fines nefarios. Este desarrollo también se produce en un momento en que los grupos de ransomware se están gestionando cada vez más como empresas legales, con una estructura y un modelo de negocio.

"Las empresas ofrecen recompensas por errores para que más personas analicen su código, con la esperanza de ofrecer suficiente recompensa para incentivar a los investigadores a echar un vistazo y divulgar de manera responsable lo que encuentren", dijo Mike Parkin, ingeniero técnico senior de la compañía de riesgo cibernético Vulcan Cyber. "Ahora, con el grupo de ransomware LockBit aparentemente ofreciendo sus propias recompensas por errores, cualquiera que todavía dude de que los grupos de cibercriminales hayan alcanzado un nivel de madurez que rivaliza con las organizaciones que atacan, puede necesitar reevaluar. Han tomado una página directamente del libro de desarrollo de una organización madura".

Una amplia gama de categorías de recompensas disponibles en el programa de LockBit

El sitio de recompensas por errores de LockBit 3.0 incluye incluso un menú de categorías de recompensas por errores de interés para el grupo, según reveló Bleeping Computer. El grupo promete pago por errores en sitios web, como vulnerabilidades de scripting entre sitios e inyecciones SQL. Pero va más allá de las vulnerabilidades. El grupo dice que pagará por errores encontrados en su propio proceso de cifrado y descifrado de ransomware, fallas que podrían permitir el acceso root a sus propios servidores e incluso "ideas brillantes" que puedan ayudar a mejorar su sitio y software.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Pero la oferta más lucrativa se presenta en forma de $1 millón, pagados por revelar la identidad del jefe del programa de afiliados. Esto significa que el grupo está desafiando a las personas a encontrar la verdadera identidad de LockBitSupp, el jefe del programa de afiliados de LockBit, conocido solo por ese nombre, y está dispuesto a pagar mucho para ver si alguien puede identificarlo. Esta oferta ha estado en curso desde al menos marzo de 2022, cuando LockBitSupp ofreció $1 millón al agente del FBI que pudiera "desanunciarlos".

La dependencia de LockBit de investigadores no éticos y hackers para participar en su programa de recompensas por errores

El programa de recompensas por errores de LockBit se basa naturalmente en encontrar investigadores no éticos, hackers y otras personas dispuestas a proporcionar datos sensibles a los delincuentes para ganar dinero fácil. Aunque la mayoría de las organizaciones quieren confiar en sus empleados y socios, la triste realidad es que las empresas tienen que asegurarse de proteger sus activos contra todas las amenazas, tanto externas como internas.

"El titular más importante aquí es que los atacantes cada vez más descubren que pueden comprar acceso a las empresas y sistemas que desean atacar", dijo Casey Bisson, jefe de producto y habilitación de desarrolladores en la empresa de seguridad BluBracket. "Esto debería hacer que todas las empresas examinen la seguridad de su cadena de suministro interna, incluidos quién y qué tiene acceso a su código y a cualquier secreto que pueda contener. Los programas de recompensas no éticas como este convierten contraseñas y claves en código en oro".

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a LockBit lanza programa de recompensas por vulnerabilidades en ransomware , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.