LostTrust es un grupo de ransomware descubierto recientemente con algunas características interesantes. Probablemente comenzaron sus operaciones a finales de 2022, pero no se dieron a conocer hasta septiembre de 2023, cuando comenzaron a publicar víctimas en su sitio de filtración de datos.
LostTrust se describe a sí mismo como «un grupo de jóvenes que se identifican como especialistas en el campo de la seguridad de redes con al menos 15 años de experiencia».
En su sitio de filtración de datos aclaran que no tienen nada que ver con grupos políticos o agencias de inteligencia y que los datos presentes no son los únicos que tienen.
Por regla general, informan de cada incidente a la mayor cantidad de periodistas posible en la región afectada, mientras que los datos que no están destinados a la venta se transmiten a foros designados. La unidad de investigación de SILIKN analizó y clasificó un total de 62 ciberataques del grupo: según lo informado por la banda en su sitio de filtraciones.
Sin embargo, es importante subrayar que la atribución precisa de cuándo ocurrieron los ataques no es fácil ya que el grupo no utiliza fechas precisas sino sólo fechas relativas.
Los sectores manufacturero, profesional, científico y técnico son las principales víctimas del grupo (los cuales representan el 35.5% del número total de ataques, seguidos por construcción, educación, gobierno, entre otros sectores.
Los países más atacados por este grupo han sido Estados Unidos e Italia, pero han mantenido un fuerte despliegue en América Latina, afectando a países como Argentina, Chile y México.
De acuerdo con datos del grupo, se estima que LostTrust es un cambio de marca de la pandilla Metaencryptor, una operación de ransomware que inició sus actividades en agosto de 2022 y no publicó nada después de julio de 2023. Metaencryptor presentó un total de 13 víctimas. En este sentido, LostTrust utiliza la misma plantilla y los datos generales de MetaEncryptor.
Otro punto importante, es que LostTrust mantiene una estrecha colaboración con otros grupos cibercriminales como Medusa, Royal, LockBit 3.0 y NoEscape (tres de los cuales han atacado a organizaciones mexicanas), mediante la cual ha podido atacar 10 objetivos previamente afectados por las pandillas antes mencionadas.
Hace 7 meses, LostTrust dio a conocer en su sitio de filtraciones que tenía en su poder 900 GB de información del Gobierno de México y que los haría públicos, lo cual no ha sucedido hasta el momento, pero no se descarta que lo puedan hacer en el transcurso de los siguientes meses. Tampoco se descarta que pueda efectuar nuevos ataques contra el gobierno de México, una vez que LostTrust es uno de los grupos de ransomware que utilizan al menos dos variantes distintas de ransomware con las cuales impactan a las organizaciones víctimas.
Inclusive se estima que los nuevos ataques los lleven bajo una nueva marca, pues el pronóstico es que dejarán de llamarse LostTrust, impulsados por las nuevas capacidades que están incorporando en su malware, al mismo tiempo que intentan evadir el monitoreo de autoridades como FBI, Europol e Interpol.
Un punto crucial a señalar es que se ha detectado que LostTrust, ha dejado cepas de ransomware instaladas en sus víctimas, las cuales están utilizando para posteriores ataques, por lo que la unidad de investigación de SILIKN alerta a las organizaciones que han sido vulneradas por estos grupos cibercriminales, pues podrían recibir un nuevo ataque en el transcurso de las 48 horas posteriores al primer incidente y hasta 6 meses después.
Además, la unidad de investigación de SILIKN ha detectado que grupos cibercriminales como LostTrust han hecho modificaciones e innovaciones al código del ransomware, con lo cual han logrado implementar funciones nuevas como infostealers (malware para robo y exfiltración de datos), wipers (malware para destruir información sin posibilidad de recuperación), rootkits (malware para permanecer inactivo en los sistemas comprometidos hasta un momento predeterminado), así como malware para poder evadir la detección de los sistemas de seguridad.
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad .