El ransomware LockBit ha estado muy activo desde septiembre de 2019 cuando se lanzó como un ransomware como servicio (RaaS), con representantes de pandillas que promocionan la operación, brindan apoyo en foros de piratería en idioma ruso y reclutan actores de amenazas para violar y encriptar redes.
Dos años más tarde, en junio de 2021, LockBit anunció LockBit 2.0 RaaS en su sitio de fuga de datos después de que se prohibiera a los actores de ransomware publicar en foros de ciberdelincuencia pero... Ahora este a vuelto con ayuda de los Cargadores maliciosos BLISTER y SocGholish.
Tanto BLISTER como SocGholish son conocidos por sus tácticas de sigilo y evasión para entregar cargas dañinas. En particular, estos dos se han utilizado juntos en campañas , con SocGholish lanzando BLISTER como un cargador de segunda etapa. Combinados, estos dos cargadores tienen como objetivo evadir la detección y la sospecha para lanzar y ejecutar cargas útiles, específicamente LockBit en este caso.
SocGholish existe desde hace más tiempo que BLISTER y ya se ha establecido bien entre los actores de amenazas por su marco de entrega avanzado. Los informes muestran que su marco de ataque ha sido utilizado previamente por actores de amenazas desde 2020.
Por el contrario, BLISTER, es un tipo de malware más nuevo que se identificó por primera vez en diciembre de 2021, al implementar el ransomware LockBit . La entrega del cargador BLISTER puede ser a través de instaladores maliciosos, específicamente el marco SocGholish. El cual, cabe destacar que puede tener una carga útil integrada de Cobalt Strike o BitRat en su sección de recursos.
LockBit, tiene una de las operaciones de ransomware más activas en la actualidad. La pandilla es famosa por sus sofisticadas capacidades de malware y su sólida red de afiliados. Por lo general, infecta los sistemas mediante el acceso no autorizado a la infraestructura orientada a Internet por lo que es muy importante que empresas esten preparadas para luchas contra esta clase de amenazas.
