La pandilla de ransomware LockBit se responsabiliza por el ciberataque de julio contra el gigante de la ciberseguridad Entrust, pero con un giro: el grupo también acusa a su última víctima de un contraataque.
Entrust, que se describe a sí misma como líder mundial en identidades, pagos y protección de datos, dijo a fines de julio que una «parte no autorizada» accedió a partes de su red, pero se negó a describir la naturaleza del ataque o decir si los datos del cliente fueron robados. Los clientes de Entrust incluyen varias agencias del gobierno de EE. UU., incluido el Departamento de Seguridad Nacional, el Departamento de Energía y el Tesoro.
El viernes, LockBit, una destacada operación de ransomware que anteriormente reclamó ataques contra Foxconn y Accenture, asumió la responsabilidad del ciberataque de julio al agregar Entrust a su sitio de filtraciones en la web oscura. La pandilla comenzó a filtrar datos internos de la compañía este fin de semana, lo que sugiere que Entrust puede haberse negado a cumplir con las demandas de rescate del grupo.
Pero poco después, un aparente ataque de denegación de servicio distribuido (DDoS) obligó a desconectar el sitio de filtraciones de la web oscura de LockBit.
Azim Shukuhi, investigador de seguridad en Talos de Cisco, citado un miembro de LockBit con el nombre de usuario «LockBitSupp», que afirmó que el sitio estaba recibiendo «400 solicitudes por segundo de más de 1,000 servidores». Si bien los perpetradores del ataque DDoS siguen siendo desconocidos, el mismo miembro de LockBit le dijo a Bleeping Computer que el ataque «comenzó inmediatamente después de la publicación de datos y negociaciones» y por separado le dijeron al grupo de investigación de malware VX-Underground que creían que el ataque fue lanzado por alguien conectado a Entrust, haciendo referencia al tráfico basura de Internet que decía «DELETE_ENTRUSTCOM_MOTHERFUCKERS».
El sitio de LockBit permanece en gran medida inaccesible el lunes, pero mostró brevemente un mensaje de advertencia de que la pandilla planea cargar los datos robados de Entrust en redes peer-to-peer, lo que hace que los datos sean casi imposibles de eliminar.
Tecno le pidió a Entrust que confirmara o negara cualquier conocimiento o conexión con el ataque DDoS. Ken Kadet, vicepresidente de comunicaciones de Entrust, se negó a responder a varios correos electrónicos enviados antes de la publicación.
Los ataques cibernéticos ofensivos, o «retroceder» contra los ciberdelincuentes, como lanzar ataques DDoS contra participantes no dispuestos, son ilegales según la ley de los EE. UU. y podrían clasificarse como un delito penal federal según la Ley de Abuso y Fraude Informático. La piratería ha sido objeto de un intenso debate durante años como una posible alternativa para proteger a las empresas estadounidenses de las amenazas internacionales, aunque los críticos dicen que permitir que las empresas privadas participen en la guerra cibernética corre el riesgo de aumentar las tensiones diplomáticas y desestabilizar las relaciones estatales.
O, como un investigador de seguridad lo pone: “La idea de que una empresa de ciberseguridad se encontraría con un DDoS sentaría un precedente peligroso [sic].”