Aumento letal: LockBit y Cl0P

Un informe sobre ransomware publicado por Akamai en Black Hat 2023 reveló que la explotación de vulnerabilidades zero-day y one-day ha llevado a un aumento del 143% en el número de víctimas de ransomware. Ahora, la filtración de datos al final de la cadena de ataque se ha convertido en la principal fuente de extorsión.

Aumento letal: LockBit y Cl0P - Seguridad | Imagen 1 Newsmatic

Contenido:

  • LockBit lidera la lista, seguido por CL0P
  • Dos tendencias claras muestran la evolución de las amenazas
  • Las organizaciones medianas son el objetivo preferido
  • LockBit: una solución integral
  • Manufactura y atención médica, en la mira
  • La mitigación es la mejor defensa
  • La defensa es el mejor ataque
Índice de Contenido
  1. LockBit lidera la lista, CL0P en segundo lugar
  2. Dos tendencias claras muestran la evolución de las amenazas
    1. ALPHV: El óxido nunca duerme
  3. Las organizaciones medianas son el objetivo preferido
    1. Llamémoslo 'ciberfracking'
    2. CL0P para un día... un zero-day
  4. LockBit: una solución integral
  5. Manufactura y atención médica, en la mira
  6. La mitigación es la mejor defensa
  7. La defensa es el mejor ataque
    1. Bloqueo de dominios de exfiltración
    2. Colocar trampas para moscas endulzadas
    3. Escanear constantemente
    4. Verificar pasaportes en la entrada

LockBit lidera la lista, CL0P en segundo lugar

El informe, titulado "Ransomware en movimiento", analiza cómo están evolucionando las técnicas de explotación, incluido el enfoque de los atacantes en las vulnerabilidades zero-day. El informe muestra que las víctimas de múltiples ataques de ransomware tienen más de seis veces más probabilidades de sufrir un segundo ataque dentro de los tres meses posteriores al primero.

Los investigadores del Grupo de Inteligencia de Seguridad de Akamai revisaron datos del cuarto trimestre de 2021 al segundo trimestre de 2023. Según el informe, LockBit afectó alrededor del 39% de todas las organizaciones víctimas rastreadas por Akamai, lo que significa que el número de víctimas de LockBit es tres veces mayor que el del segundo competidor, el grupo CL0P. ALPHV, también conocido como Black Cat, se ubicó en el tercer lugar en volumen de víctimas, enfocándose en desarrollar y explotar puntos de entrada zero-day (Figura A).

Figura A

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel
Aumento letal: LockBit y Cl0P - Seguridad | Imagen 2 Newsmatic
Principales grupos de ransomware por número de víctimas. Imagen: Akamai

Anthony Lauro, director de tecnología y estrategia de seguridad de Akamai, explicó que LockBit busca blancos de alto valor con vulnerabilidades zero-day que las empresas no pueden solucionar rápidamente. Suelen atacar y volver a atacar a estas organizaciones y a los sectores, como la industria manufacturera y la tecnológica, donde las operaciones de seguridad están rezagadas. Además, explicó que los creadores de malware pueden elegir herramientas y servicios de un creciente ecosistema oscuro.

Dos tendencias claras muestran la evolución de las amenazas

El informe destaca dos tendencias que muestran cómo los grandes grupos, con alcance y variedad de productos que incluyen RaaS (ransomware como servicio), crecen de forma constante, mientras que los grupos más pequeños se enfocan en aprovechar oportunidades a medida que surgen:

  • La primera tendencia se ejemplifica con LockBit, caracterizada por un recuento constante de 50 víctimas por mes, y su actividad parece estar relacionada con la cantidad de afiliados y recursos que tiene.
  • La segunda tendencia, representada por grupos como CL0P, muestra aumentos repentinos de actividad al explotar vulnerabilidades zero-day críticas a medida que aparecen, y aprovechan fallas de seguridad altamente específicas.

"Los escritores de malware ahora pueden dividir las operaciones, lo cual es un cambio", dijo Lauro. "Solía ser que los atacantes eran una entidad o grupo responsable de la entrega de la carga útil del malware, la explotación y el seguimiento". Agregó que, debido a la naturaleza abierta del mercado de malware, grupos como LockBit y Cl0P han podido reclutar a otros para realizar diversas tareas en la cadena de ataque.

ALPHV: El óxido nunca duerme

Lauro dijo que dentro de las tácticas que se encuentran con más frecuencia en el segundo grupo de tendencias, "se encuentran las metodologías probadas y verdaderas, como las vulnerabilidades del sistema Windows que no son necesariamente de alta gravedad, porque estos sistemas generalmente no están disponibles para consultas externas. Sin embargo, los atacantes aún pueden acceder a ellos. Por lo tanto, hay dos tendencias principales: distribuir la base de víctimas entre objetivos y tácticas fáciles, y aprovechar CVE y zero-days en grandes actores como objetivos".

Por ejemplo, ALPHV se ubica en el segundo lugar en la lista de atacantes de Akamai en cuanto al volumen de víctimas, utiliza el lenguaje de programación Rust para infectar sistemas Windows y Linux. Akamai afirmó que el grupo aprovechaba vulnerabilidades en el servidor de Microsoft Exchange para infiltrarse en los objetivos.

Según Akamai, el grupo falsificó el sitio web de una víctima el año pasado (utilizando un dominio con errores ortográficos). La nueva técnica de extorsión incluía la publicación de los archivos robados y su filtración en su sitio web para ejercer presión sobre las víctimas y fomentar el pago del rescate.

Cómo proteger tu computadora de los virus: métodos y consejos

Las organizaciones medianas son el objetivo preferido

Según el estudio de Akamai, el 65% de las organizaciones objetivo reportaron ingresos de hasta 50 millones de dólares, mientras que aquellas con un valor superior a los 500 millones de dólares representaron el 12% del total de las víctimas. Además, Akamai informó que los datos de ransomware utilizados se recopilaron de aproximadamente 90 grupos de ransomware diferentes.

Llamémoslo 'ciberfracking'

Si hubieras invertido en una operación minera de gas natural, es probable que "accidentalmente a propósito" te expandieras hacia los activos en los patios de otras personas una vez que hubieras agotado el objetivo principal. Los atacantes de LockBit hacen lo mismo, llegando incluso a los clientes de sus víctimas, informándoles sobre el incidente y empleando tácticas de triple extorsión, incluso los ataques de denegación de servicio distribuido (DDoS).

Lauro dijo que las diferentes etapas de explotación, entrega y ejecución son los primeros pasos. La defensa se basa en elementos de defensa perimetral como la visibilidad, pero el resto ocurre después del incidente, moviéndose lateralmente y engañando a los sistemas, o realizando solicitudes que parecen "amistosas", todo dentro de la red.

"Una vez que estás dentro, la mayoría de las organizaciones están completamente expuestas, porque como atacante, no tengo que descargar herramientas especiales; puedo usar las herramientas instaladas. Por lo tanto, existe una falta de buena seguridad de red local. Nos encontramos con cada vez más entornos en mal estado en términos de visibilidad interna y a lo largo del tiempo", dijo Lauro.

CL0P para un día... un zero-day

CL0P, que ocupa el tercer lugar en términos de volumen de víctimas observado por Akamai, tiende a abusar de las vulnerabilidades zero-day en plataformas de transferencia de archivos administradas. Akamai informó que el grupo aprovechó un protocolo de transferencia de archivos heredado que quedó oficialmente obsoleto en 2021, así como una vulnerabilidad zero-day en MOVEit Transfer para robar datos de varias organizaciones.

"Vale la pena señalar cómo CL0P tiene un número relativamente bajo de víctimas hasta que su actividad se dispara cada vez que se explota una nueva vulnerabilidad zero-day como parte de su operación", dijeron los autores del informe de Akamai. "A diferencia de LockBit, que tiene cierta consistencia o patrón, los ataques de CL0P parecen estar relacionados con la próxima gran vulnerabilidad zero-day, lo cual es difícil de predecir (Figura B)."

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Figura B

Aumento letal: LockBit y Cl0P - Seguridad | Imagen 3 Newsmatic
Comparación trimestral del número de víctimas entre los tres principales grupos de ransomware: LockBit, ALPHV y CL0P. Imagen: Akamai

LockBit: una solución integral

Akamai señaló que LockBit, cuyo sitio web tiene la apariencia de una empresa legítima, está promocionando nuevas herramientas e incluso un programa de recompensas por errores en su última versión 3.0. Al igual que los "sombreros blancos", el grupo invita a investigadores de seguridad y hackers a enviar informes de problemas en su software, ofreciendo recompensas de hasta 1 millón de dólares.

Akamai señaló que si bien el programa de recompensas por errores tiene un enfoque principalmente defensivo, "no está claro si también se utilizará para buscar vulnerabilidades y nuevas formas de explotar víctimas" (Figura C).

Figura C

Aumento letal: LockBit y Cl0P - Seguridad | Imagen 4 Newsmatic
LockBit busca hackers éticos y no éticos. Fuente: Akamai vía Bleeping Computer.

 

En su sitio web, LockBit busca tanto hackers éticos como no éticos. Fuente: Akamai vía Bleeping Computer.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

Manufactura y atención médica, en la mira

De todas las industrias, el sector manufacturero experimentó un aumento del 42% en el número total de víctimas durante el período investigado por Akamai. LockBit fue responsable del 41% de los ataques totales a la industria manufacturera.

El sector de la salud experimentó un aumento del 39% en el número de víctimas durante el mismo período, y fue atacado principalmente por los grupos de ransomware ALPHV (también conocido como BlackCat) y LockBit.

La mitigación es la mejor defensa

Las recomendaciones de Akamai para reducir las posibilidades de sufrir un ataque de ransomware y mitigar sus efectos incluyen adoptar un enfoque de ciberseguridad multicapa que incluya:

  • Mapeo de la red para identificar y aislar los sistemas críticos y limitar el acceso de entrada y salida para obstaculizar los intentos de movimiento lateral de los actores de amenazas.
  • Actualizar constantemente el software, firmware y los sistemas operativos para parchar cualquier vulnerabilidad.
  • Realizar copias de seguridad regulares y mantener los datos críticos guardados fuera de línea, así como establecer un plan de recuperación de desastres efectivo.
  • Desarrollar y poner a prueba regularmente un plan de respuesta a incidentes que establezca los pasos a seguir en caso de un ataque de ransomware. Este plan debe incluir canales de comunicación claros, roles y responsabilidades, y un proceso para involucrar a las fuerzas del orden y expertos en ciberseguridad.
  • Capacitar a los empleados, proveedores y socios para que no tengan acceso a los sitios y sistemas de la organización hasta que reciban capacitación regular en concientización sobre ciberseguridad, incluyendo ataques de phishing, ingeniería social y otros vectores de ransomware.
  • Promover la denuncia de actividades sospechosas y alentar a los empleados y partes interesadas a informar cualquier actividad de riesgo.

La defensa es el mejor ataque

Las tácticas de defensa según Akamai deberían incluir:

Bloqueo de dominios de exfiltración

Limitar el acceso a servicios que pueden ser utilizados para la exfiltración de datos mediante el uso de soluciones que bloqueen el tráfico malicioso proveniente de URL y DNS conocidos, o mediante el uso de soluciones o controles que bloqueen el acceso a dominios específicos.

Colocar trampas para moscas endulzadas

Utilizar honeypots puede ayudar a atrapar a los atacantes en sus intentos de exploración, haciéndolos caer en servidores donde sus actividades pueden ser monitoreadas.

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

Escanear constantemente

Utilizar un sistema de detección de intrusiones para detectar exploraciones sospechosas en la red. Akamai señaló que los atacantes utilizan herramientas identificables para identificar objetivos dentro de la red de una organización. Estas herramientas pueden ser detectadas.

Verificar pasaportes en la entrada

Akamai sugiere utilizar herramientas para inspeccionar el tráfico saliente de Internet y bloquear servidores C2 de malware conocidos. "Las soluciones deben ser capaces de monitorear todas las comunicaciones DNS en tiempo real y bloquear las comunicaciones con dominios maliciosos, evitando que el malware se ejecute correctamente y alcance sus objetivos", afirmó la empresa.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Aumento letal: LockBit y Cl0P , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.