LockBit persiste, pues el constructor o builder filtrado en 2022 sigue siendo una amenaza. Tras un reciente incidente, el Equipo Global de Respuesta a Emergencias de Kaspersky alertó sobre un ataque en el que los adversarios crearon su propia variante de malware de cifrado, equipada con funcionalidades de autopropagación. Los cibercriminales vulneraron la infraestructura, explotando credenciales de administrador privilegiado robadas.

El último incidente se registró en África Occidental, concretamente en Guinea-Bisáu, y reveló que el ransomware personalizado emplea técnicas que no se habían visto anteriormente. Es capaz de crear un efecto avalancha incontrolable, con hosts infectados que intentan propagar el malware dentro de la red de la víctima.

Los incidentes que implican diversos tipos de técnicas basadas en LockBit 3.0, pero que carecen de la capacidad de autopropagación y suplantación de identidad encontradas en Guinea-Bisáu, se producen regularmente en diversas industrias y regiones. Se han observado en Chile, Rusia e Italia, y es posible que la geografía de los ataques siga ampliándose.

Por este motivo, Kaspersky presenta un análisis detallado para identificar este tipo de actor malicioso:

• Suplantación de identidad. Aprovechando las credenciales ilícitamente adquiridas, el actor de amenaza se hace pasar por el administrador del sistema con derechos privilegiados. Este escenario es crítico, ya que las cuentas privilegiadas ofrecen amplias oportunidades para ejecutar el ataque y acceder a las áreas más críticas de la infraestructura corporativa.

• Autopropagación. El ransomware personalizado también puede propagarse autónomamente a través de la red utilizando credenciales de dominio altamente privilegiadas y realizar actividades maliciosas, como desactivar Windows Defender, cifrar comparticiones de red y borrar los registros de eventos de Windows para cifrar datos y ocultar sus acciones. Asimismo, el comportamiento del malware resulta en un escenario donde cada host infectado intenta infectar otros dentro de la red.

• Funcionalidades adaptativas. Los archivos de configuración personalizados, junto con las funcionalidades mencionadas anteriormente, permiten que el malware se adapte a las configuraciones específicas de la arquitectura de la empresa comprometida. Por ejemplo, el atacante puede configurar el ransomware para infectar solo archivos específicos, como todos los archivos .xlsx y .docx, o solo un conjunto de sistemas específicos. Al ejecutar este build personalizado en una máquina virtual, Kaspersky observó que realizaba actividades maliciosas y generaba una nota de rescate personalizada en el escritorio. En escenarios reales, esta nota incluye detalles sobre cómo la víctima debe contactar a los atacantes para obtener el descodificador.

“El builder LockBit 3.0 fue filtrado en 2022, pero los atacantes aún lo usan activamente para crear versiones personalizadas, sin la necesidad de

tener habilidades avanzadas de programación. Esta flexibilidad brinda a los adversarios muchas oportunidades para mejorar la efectividad de sus ataques, como muestra el caso reciente. Esto hace que estos tipos de ataques sean aún más peligrosos, considerando la frecuencia creciente de fugas de credenciales corporativas”, asegura Cristian Souza, especialista en respuesta a incidentes del Equipo Global de Respuesta a Emergencias de Kaspersky.

Además, Kaspersky observó que los atacantes utilizaron el script SessionGopher para localizar y extraer contraseñas guardadas para conexiones remotas en los sistemas afectados.

Los productos de Kaspersky detectan la amenaza con los siguientes veredictos:

• Trojan-Ransom.Win32.Lockbit.gen
• Trojan.Multi.Crypmod.gen
• Trojan-Ransom.Win32.Generic

El script SessionGopher se detecta como:

• HackTool.PowerShell.Agent.l
• HackTool.PowerShell.Agent.ad

LockBit es un grupo de ciberdelincuentes que ofrece Ransomware como Servicio (RaaS). En febrero de 2024, una operación policial internacional se hizo con el control del grupo. Pocos días después de la operación, el grupo de ransomware anunció desafiante que volvía a la acción.

Kaspersky recomienda las siguientes medidas generales para mitigar los ataques de ransomware:

• Implementa un programa de respaldo frecuente de tus equipos y servidores, y realiza pruebas regulares.

• Si has sido víctima de un ransomware y aún no existe ningún descodificador conocido, guarda tus archivos cifrados críticos: es posible que surja una solución de descifrado, por ejemplo, durante la investigación de amenazas en curso o si las autoridades consiguen hacerse con el control del actor detrás de la amenaza.

• Recientemente, las autoridades realizaron una operación, desmantelando el grupo de ransomware LockBit. Durante la operación, las fuerzas del orden obtuvieron claves de descodificación privadas y prepararon herramientas para descifrar archivos basados en IDs conocidos. Estas herramientas, como check_decryption_id.exe y check_decrypt.exe, ayudan a evaluar si los archivos pueden ser recuperados.

• Implementa una solución de seguridad sólida, como Kaspersky Endpoint Security, y asegúrate de que esté correctamente configurada. Considera los servicios de Managed Detection and Response (MDR) para la caza proactiva de amenazas.

• Reduce tu superficie de ataque deshabilitando servicios y puertos no utilizados.

• Mantén tus sistemas y el software actualizados para parchear vulnerabilidades.

• Realiza regularmente pruebas de penetración y escaneos de vulnerabilidad para detectar debilidades e implementar las medidas apropiadas.

• Proporciona capacitación regular en ciberseguridad a los empleados para aumentar la conciencia sobre las amenazas cibernéticas y las estrategias de mitigación.

El informe del Equipo Global de Respuesta a Emergencias de Kaspersky puede encontrarse aquí.

Origen

De acuerdo con un informe de Kaspersky, LockBit -el grupo de ransomware más utilizado y prolífico a nivel mundial- ha actualizado su operación con funcionalidades multiplataforma, específicamente para el secuestro de archivos en computadoras con sistemas macOS. LockBit ganó notoriedad por sus implacables ataques contra empresas alrededor del mundo, incluyendo América Latina. Es más, la CISA, una agencia gubernamental estadounidense, recientemente anunció que LockBit ha obtenido ganancias estimadas en $91 millones de dólares como resultado de rescates pagados por empresas víctimas de ataques en ese país durante los últimos tres años. Este contexto refuerza la conclusión del informe de Kaspersky que destaca la determinación del grupo por ampliar su alcance y maximizar el impacto sobre sus víctimas.

En sus inicios, LockBit operaba ataques encubiertos, ejerciendo tácticas de doble extorsión o exfiltración de datos antes de cifrar la información y los sistemas de sus víctimas. Sin embargo, el grupo ha desarrollado continuamente su infraestructura y medidas de seguridad para proteger sus activos frente a diversas amenazas, incluidos los ataques a sus sistemas afiliados y los ataques distribuidos de denegación de servicio (DDoS).

La comunidad de ciberseguridad ha observado que LockBit está adoptando el código de otros grupos de ransomware como BlackMatter y DarkSide. Esta táctica estratégica, además de simplificar las operaciones para posibles afiliados, amplía la posibilidad de iniciar una infección de LockBit. De hecho, hallazgos recientes del Threat Attribution Engine (KTAE) de Kaspersky señalan que LockBit ha incorporado aproximadamente el 25% del código utilizado por la ahora desaparecida banda de ransomware Conti, resultando en una nueva variante conocida como LockBit Green.

En un avance significativo, los investigadores de Kaspersky descubrieron un archivo ZIP que contiene muestras de LockBit diseñadas específicamente para múltiples arquitecturas, incluidas Apple M1, ARM v6, ARM v7, FreeBSD y más. Tras un análisis e investigación exhaustivos con KTAE, se confirmó que estas muestras se originaron a partir de la versión de LockBit Linux/ESXi observada anteriormente.

Si bien algunas muestras, como la variante de macOS, requieren una configuración adicional y no están firmadas correctamente, es evidente que LockBit está probando activamente su ransomware en varias plataformas, lo que indica una expansión inminente de los ataques. Este desarrollo subraya la necesidad urgente de medidas robustas de ciberseguridad en todas las plataformas y una mayor conciencia dentro de la comunidad empresarial.

“LockBit es un grupo de ransomware muy activo y conocido por sus devastadores ciberataques a empresas de todo el mundo. Con sus continuas mejoras de infraestructura y la incorporación de código de otros grupos de ransomware, representa una amenaza significativa y en evolución para las organizaciones en múltiples industrias. Es imperativo que las empresas refuercen sus defensas, actualicen regularmente sus sistemas de seguridad, capaciten a los empleados sobre las mejores prácticas de ciberseguridad y establezcan protocolos de respuesta a incidentes para mitigar de manera efectiva los riesgos que plantean LockBit y grupos de ransomware similares”, comenta Marc Rivero, investigador principal de seguridad del Equipo Investigación y Análisis Global de Kaspersky.

Kaspersky comparte las siguientes recomendaciones para que las empresas se protejan de los ataques de ransomware:

• Mantener siempre actualizado el software de todos los dispositivos que se utilicen para evitar que los atacantes aprovechen las vulnerabilidades y se infiltren en su red.
• Centrar la estrategia de defensa en la detección de movimientos laterales y fugas de datos a Internet. Es importante prestar especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes en su red. Configurar copias de seguridad fuera de línea que los intrusos no puedan manipular y asegurarse de poder acceder a ellas rápidamente cuando sea necesario o en caso de emergencia.

• Activar la protección contra ransomware en todos los endpoints.
• Instalar soluciones anti-APT y EDR que permitan descubrir, detectar e investigar amenazas avanzadas y neutralizar rápidamente los incidentes. Es importante brindar a su equipo SOC acceso a la información actualizada sobre amenazas y mejorar sus habilidades periódicamente con capacitación profesional. Todo lo anterior está disponible dentro del marco de Kaspersky Expert Security.
• Proporcionar a su equipo SOC acceso a la inteligencia de amenazas (TI) más reciente. Kaspersky Threat Intelligence Portal es un único punto de acceso que ofrece información y datos sobre ataques cibernéticos recopilados por nuestro equipo durante los últimos 20 años.

Conozca más de Lockbit en Securelist.

Origen