LockBit: El ransomware más prevalente desde 2022 y cómo defenderte
Un nuevo informe de un consorcio de organizaciones internacionales, que incluye la Agencia de Ciberseguridad y Seguridad de Infraestructura, el FBI y el Centro de Compartición e Análisis de Información de Varios Estados, detalla los incidentes relacionados con LockBit, el ransomware más prevalente desde 2022, y recomienda acciones mitigadoras. El creciente número de trabajadores híbridos está creando aún más vulnerabilidades, especialmente en las empresas más pequeñas.
- ¿Qué es LockBit?
- ¿En qué se diferencia el kill chain de LockBit de otros actores de RaaS?
- LockBit y su aparente legitimidad en la Dark Web
- Un modelo de pago que reduce la barrera de entrada
- El alcance global de LockBit
- La información filtrada en sitios de fugas de datos no muestra el panorama completo
- Cómo defenderte contra LockBit
- Mitigaciones para otros eventos en la cadena de ataque de LockBit
¿Qué es LockBit?
LockBit es una operación de ransomware como servicio (RaaS) que ha extorsionado $91 millones de dólares en alrededor de 1,700 ataques contra organizaciones de Estados Unidos desde 2020, impactando al menos a 576 organizaciones en 2022. LockBit ofrece a sus clientes una interfaz de bajo código para lanzar ataques.
El informe de ciberseguridad destaca que los ataques de LockBit han afectado a los sectores de servicios financieros, alimentos, educación, energía, gobierno y servicios de emergencia, salud, manufactura y transporte.
¿En qué se diferencia el kill chain de LockBit de otros actores de RaaS?
El informe, que utiliza la matriz MITRE ATT&CK para entender la cadena de ataque de LockBit, indica que esta operación se diferencia de otros actores de RaaS porque:
- Permite a los afiliados recibir el pago del rescate antes de enviar un porcentaje al grupo central, mientras que otros grupos de RaaS se pagan a sí mismos primero.
- Desacredita a otros grupos de RaaS en foros en línea.
- Realiza actos publicitarios llamativos.
- Cuenta con una interfaz de ransomware de baja complejidad que permite a cualquier persona usarla con solo un par de clics.
LockBit y su aparente legitimidad en la Dark Web
Un estudio realizado en mayo del 2023 por la empresa de ciberseguridad WithSecure sobre la profesionalización del ransomware señala que el modelo de servicio que utiliza LockBit es similar al de cualquier software legítimo: crea herramientas, infraestructura y procedimientos operativos, o "manuales de juego", y vende acceso a estas herramientas y servicios a otros grupos o individuos.
Sean McNee, vicepresidente de investigación y datos de la firma de inteligencia en internet DomainTools, afirmó que el grupo de LockBit actualiza continuamente el software, tal como lo haría una operación legítima, incluso lanzando un programa de recompensas por errores en el software.
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel"A medida que el modelo de ransomware como servicio continúa evolucionando, vemos cómo los grupos compiten por obtener a los mejores afiliados", dijo McNee, agregando que LockBit ha trabajado para aumentar el alcance y la amplitud de los ataques a través de la profesionalización de su red de afiliados, incluso anunciando activamente en foros en línea.
Operadores como LockBit se están adaptando rápidamente y aprovechando nuevas oportunidades comerciales para sacar provecho de la disrupción en el espacio del ransomware. Lamentablemente, esta es una tendencia que creemos que continuará en 2023", agregó McNee.
Un modelo de pago que reduce la barrera de entrada
"El sistema de RaaS reduce la barrera de entrada, permitiendo que nuevos participantes se beneficien de la experiencia de los actores establecidos, al tiempo que los actores establecidos reciben una parte de las ganancias de todos los clientes que utilizan su servicio", afirmaron los autores del informe de WithSecure, que incluye al analista de amenazas de la firma, Stephen Robinson.
"Como es el caso de los proveedores de servicios legítimos, las ganancias potenciales son mucho mayores, ya que el tiempo de las personas solo se puede vender una vez, mientras que los conocimientos se empaquetan como un servicio y se pueden vender repetidamente sin aumentar significativamente los costos", agrega el informe de WithSecure.
Si bien el informe de WithSecure señala, al igual que el informe de la agencia de ciberseguridad, que los afiliados de LockBit pagan una tarifa por acceso al grupo fuente y que este grupo fuente se lleva un porcentaje del rescate pagado, los ataques, modus operandi y objetivos de los operadores varían considerablemente.
El alcance global de LockBit
En los Estados Unidos, LockBit representó el 16% de los incidentes de ransomware informados a la MS-ISAC en gobiernos locales y estatales, incluyendo ataques de ransomware a gobiernos locales, instituciones de educación superior y escuelas primarias y secundarias, así como servicios de emergencia.
Cómo proteger tu computadora de los virus: métodos y consejosEl informe de ciberseguridad también destaca que, desde abril del año pasado hasta el primer trimestre de este año, LockBit representó el 18% del total de incidentes de ransomware reportados en Australia, y en Canadá representó el 22% de los incidentes de ransomware atribuidos en todo el año pasado.
En Europa, destacados fabricantes de autopartes como Continental de Alemania, la empresa de software de seguridad Entrust de Estados Unidos y la empresa tecnológica francesa Thales han sido víctimas de LockBit, según el estudio de ransomware de WithSecure realizado en mayo de 2023.
La información filtrada en sitios de fugas de datos no muestra el panorama completo
LockBit realiza ataques de doble extorsión, en los que los atacantes bloquean las bases de datos y extraen información personal identificable con la amenaza de publicarla a menos que se pague un rescate. Los sitios de fugas de datos son un elemento prominente en los exploits de RaaS de este grupo. El informe de ciberseguridad señala que hasta el primer trimestre de 2023, se han reportado 1,653 supuestas víctimas en los sitios de fugas de LockBit.
Además, el informe destaca que los sitios de fugas solo muestran una porción de las víctimas de LockBit que se han negado a pagar el rescate principal para descifrar sus datos, lo que significa que los sitios solo revelan una parte del número total de víctimas de LockBit.
"Por estas razones, los sitios de fugas no son un indicador confiable de cuándo ocurrieron los ataques de ransomware de LockBit", dicen los autores del informe, y agregan que es posible que el volcado de datos en estos sitios ocurra meses después de los ataques de ransomware que generaron la información.
Además, en junio de 2020, LockBit inició un "Cártel de Colaboración de Ransomware" con los grupos Maze y Egregor, que incluía el intercambio de sitios de fugas, según informa WithSecure.
¡Defiéndete! Protege tu seguridad en línea contra amenazas críticasCómo defenderte contra LockBit
Los autores del informe de ciberseguridad sugieren que las organizaciones tomen acciones que se alineen con un conjunto de metas desarrolladas por CISA y el Instituto Nacional de Estándares y Tecnología (NIST), que constituyen prácticas y protecciones mínimas. En el informe se presentan las sugerencias según la táctica de la cadena de ataque, de acuerdo con el marco de trabajo MITRE ATT&CK, apareciendo primero el punto más temprano en la cadena de ataque.
El informe destaca tres eventos clave en la cadena de ataque:
- Acceso inicial: cuando el ciberdelincuente busca una forma de ingresar a una red.
- Consolidación y preparación: cuando el actor intenta obtener acceso a todos los dispositivos.
- Impacto en el objetivo: cuando el actor es capaz de robar y cifrar datos y, posteriormente, exigir un rescate.
Para abordar la mitigación del acceso inicial, el informe sugiere que las organizaciones utilicen navegadores sandbox para proteger sistemas contra malware originado en la navegación web, ya que estos navegadores aíslan la máquina host del código malicioso.
Los autores también recomiendan que se exija a todas las cuentas con inicio de sesión basado en contraseña que cumplan con los estándares del NIST para desarrollar y gestionar políticas de contraseñas. Entre otras mitigaciones para el acceso inicial recomendadas por los autores, se encuentran:
- Aplicar filtros en las puertas de enlace de correo electrónico para filtrar correos electrónicos maliciosos y bloquear direcciones IP sospechosas.
- Instalar un firewall de aplicaciones web.
- Segmentar las redes para evitar la propagación del ransomware.
Mitigaciones para otros eventos en la cadena de ataque de LockBit
Ejecución
- Elaborar y actualizar regularmente diagramas de red completos.
- Controlar y restringir las conexiones de red.
- Habilitar el registro detallado de PowerShell.
- Asegurarse de que las instancias de PowerShell estén configuradas en la versión más reciente y que tengan habilitado el registro de módulos, bloqueo de scripts y transcripción.
- Activar el registro de eventos de Windows de PowerShell y el registro operativo de PowerShell con un período de retención de al menos 180 días.
- Configurar el Registro de Windows para requerir la aprobación del Control de Cuentas de Usuario para cualquier operación de PsExec que requiera privilegios de administrador.
Escalada de privilegios
- Deshabilitar actividades y permisos de línea de comandos y scripting.
- Habilitar Credential Guard para proteger las credenciales de su sistema Windows.
- Implementar Local Administrator Password Solution siempre que sea posible si su sistema operativo es anterior a Windows Server 2019 y Windows 10.
Evasión de defensas
- Aplicar políticas de seguridad locales para controlar la ejecución de aplicaciones mediante una lista estricta de permitidos.
- Establecer una lista de permitidos de aplicaciones de software y binarios aprobados.
Acceso a credenciales
- Restringir el uso de NTLM mediante políticas de seguridad y firewalls.
Descubrimiento
- Deshabilitar puertos que no se utilicen para fines comerciales.
Movimiento lateral
- Identificar las rutas de control de Active Directory y eliminar las más críticas.
- Identificar, detectar e investigar actividades anormales y posibles movimientos laterales del ransomware indicado con una herramienta de monitoreo de red.
Comando y control
- Implementar un modelo de niveles creando zonas de confianza dedicadas a los activos más sensibles de una organización.
- Las organizaciones deben considerar la transición a arquitecturas de confianza cero. El acceso VPN no debe considerarse una zona de red de confianza.
Exfiltración
- Bloquear las conexiones a sistemas maliciosos conocidos utilizando un proxy de seguridad de capa de transporte.
- Utilizar filtrado web o un Broker de Seguridad de Acceso en la Nube para restringir o supervisar el acceso a servicios públicos de intercambio de archivos.
Impacto
- Implementar un plan de recuperación para mantener y retener varias copias de datos y servidores sensibles o propietarios en una ubicación física separada, segmentada y segura.
- Mantener copias de seguridad fuera de línea de los datos y realizar regularmente copias de seguridad y restauración diaria o semanal como mínimo.
- Asegurarse de que todos los datos de respaldo estén cifrados, sean inmutables y cubran la infraestructura de datos de toda la organización.
En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a LockBit: El ransomware más prevalente desde 2022 y cómo defenderte , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados