El ransomware LockBit busca el acceso inicial a las redes objetivo principalmente a través de accesos comprados, vulnerabilidades sin parchear, acceso interno y exploits de día cero. En una "segunda fase", LockBit establece el control del sistema de la víctima, recopila información de la red y logra objetivos primarios como el robo y cifrado de datos.

¿Qué es el ransomware LockBit?

El ransomware LockBit ha estado implicado en más ciberataques este año que ningún otro ransomware, lo que lo convierte en el ransomware más activo del mundo. Y mientras que la media de pago por ransomware es de casi un millón de dólares por incidente, las víctimas de LockBit pagan un rescate medio de aproximadamente 85.000 dólares, lo que indica que LockBit se dirige a organizaciones de tamaño pequeño o mediano.

LockBit se observó por primera vez en septiembre de 2019. Desde entonces, ha evolucionado: LockBit 2.0 apareció en 2021; LockBit 3.0, la versión actual, se descubrió en junio de 2022.

LockBit busca el acceso inicial a las redes objetivo principalmente a través de accesos comprados, vulnerabilidades no parcheadas, acceso interno y exploits de día cero. En la "segunda fase", LockBit establece el control del sistema de la víctima, recopila información de la red y logra objetivos primarios como robar y cifrar datos.

Los ataques de LockBit suelen emplear una doble táctica de extorsión para animar a las víctimas a pagar, primero, para recuperar el acceso a sus archivos cifrados y, después, a pagar de nuevo para evitar que sus datos robados se hagan públicos. Cuando se utiliza como Ransomware-as-a-Service (RaaS), un Initial Access Broker (IAB) despliega malware de primera fase u obtiene acceso de otro modo a la infraestructura de una organización objetivo. A continuación, vende ese acceso al operador principal de LockBit para la explotación de la segunda fase.

Últimas noticias sobre LockBit

Los piratas informáticos interrumpen las operaciones de uno de los mayores bancos del mundo con el Tesoro estadounidense (CBC News)
El ransomware ruso Lockbit amenaza con filtrar datos internos de The Weather Network en la Dark Web (The Globe And Mail)
LockBit cierra un puerto marítimo en Japón: Los ataques OT tienen un gran impacto (Techzine)
Un ataque de ransomware a un gigante de los seguros dentales en EE.UU. expone los datos de 9 millones de pacientes (TechCrunch)

¿Quién es la banda LockBit?

La banda LockBit se considera a sí misma el "Robin Hood" de los grupos de ransomware. Aunque el FBI no ha implicado directamente al grupo LockBit como ruso, una evaluación de las comunicaciones públicas de LockBit -que defienden una visión política ampliamente antioccidental- indica que tienen orígenes rusos con filiales globales. El grupo promueve el llamado uso "ético" del ransomware y afirma que no atacará a organizaciones sanitarias, educativas, benéficas o de servicios sociales.

La banda LockBit mantiene un portal web oscuro en la red The Onion Router (TOR) donde recluta talentos y libera los datos de las víctimas que se niegan a cumplir sus exigencias. El grupo LockBit asegura a las víctimas que a quienes paguen su rescate se les devolverán sus datos; establecer esto forma parte de su modelo de negocio.

Cómo funciona el ransomware LockBit (TT&P)

LockBit 2.0 busca acceso inicial a las redes objetivo principalmente a través de acceso comprado, vulnerabilidades sin parchear, acceso interno y exploits de día cero. En el modelo RaaS de LockBit, el grupo operativo principal recluta a intermediarios de acceso inicial (IAB) a través de anuncios en la web oscura para obtener credenciales robadas para el protocolo de escritorio remoto (RDP) o el acceso a redes privadas virtuales (VPN). El grupo LockBit también desarrolla exploits para vulnerabilidades de software conocidas con el fin de aprovecharse de redes empresariales sin parches o mal configuradas.

Una vez obtenido el acceso inicial, el malware LockBit 2.0 descarga herramientas C2 apropiadas para el entorno objetivo. El malware C2 de segunda fase de LockBit 2.0 utiliza herramientas estándar de pruebas de penetración como Cobalt Strike Beacon, MetaSploit y Mimikatz, así como código de explotación personalizado. Al igual que Conti, LockBit 2.0 puede propagarse dentro de una red objetivo utilizando funciones similares a las de un gusano. El código fuente del malware LockBit 2.0 también es notorio por protegerse del análisis de los investigadores de seguridad; las herramientas están cifradas por defecto y sólo se descifran cuando se detecta un entorno adecuado.

Objetivos LockBit 2.0

LockBit 2.0 se dirige principalmente a sistemas Windows, aunque algunas variantes más recientes se han modificado para atacar entornos de virtualización de centros de datos basados en Linux, incluidas máquinas virtuales VMWare ESXi. El malware está diseñado para atacar a víctimas de Estados Unidos, Canadá, Europa, Asia y Latinoamérica. LockBit 2.0 ignora los sistemas de la Comunidad de Estados Independientes y la mayoría de las naciones de Europa del Este, con la notable excepción de Ucrania.

LockBit suele dirigirse a organizaciones de tamaño medio. Esto puede deberse al exclusivo modelo RaaS de LockBit, que facilita que un infiltrado descontento actúe como IAB, fije su precio y cobre el rescate directamente.

Cómo es un ataque LockBit 2.0

Los IAB de LockBit 2.0 despliegan una aplicación conocida como "Stealbit" para atacar los archivos de una víctima con un conjunto personalizable de extensiones de archivo objetivo. Una vez que los archivos objetivo se han copiado en un servidor controlado por el atacante, LockBit 2.0 se instala en el Registro de Windows como un proceso de arranque automatizado para mantener la persistencia de modo que se inicie automáticamente cuando se reinicie el ordenador. LockBit 2.0 también intenta moverse lateralmente a través de una red mediante conexiones a otros hosts para desplegar el ransomware en otras máquinas.

A continuación, el malware instala un archivo de icono personalizado y procede al cifrado multihilo utilizando un par de claves de sesión ECC (Curve25519), con la clave privada cifrada con una clave pública ECC almacenada en el Registro de Windows. Las versiones anteriores de LockBit añadían una extensión de archivo ".acbd" para diferenciar los archivos rescatados; las versiones más recientes utilizan una extensión ".lockbit". Por último, LockBit cambia el fondo de escritorio por la imagen de advertencia de rescate de LockBit y deja caer una nota de rescate titulada "Restore-My-Files.txt" en cada directorio afectado.

Cómo protegerse contra el ransomware LockBit

Para evitar el éxito de un ataque LockBit 2.0 se requiere una ciberseguridad eficaz y el mantenimiento de una estrategia de copias de seguridad efectiva que incluya copias de seguridad cifradas offline y offsite.

Para mitigar el riesgo de una brecha de LockBit, implemente controles de acceso sólidos con políticas de contraseñas fuertes y autenticación multifactor, mantenga un programa de gestión de vulnerabilidades que garantice que las actualizaciones de seguridad se apliquen cuando se publiquen y diseñe redes internas con recursos críticos segmentados. Además, active "Archivos protegidos" en el sistema operativo Windows para garantizar que LockBit no pueda alterar los archivos críticos del sistema.

CylanceOPTICS Evita LockBit

CylanceOPTICS^® proporciona detección y corrección de amenazas en el dispositivo utilizando inteligencia artificial (IA) para prevenir incidentes de seguridad con análisis de causa raíz, búsqueda inteligente de amenazas y capacidades automatizadas de detección y respuesta. Nuestro enfoque Endpoint Detection and Response (EDR) elimina eficazmente la latencia de respuesta. Puede ser la diferencia entre un incidente de seguridad menor y un evento generalizado y descontrolado.

Ver el vídeo