Clicky

Ransomware LockBit 3.0: dentro de la ciberamenaza que cuesta millones

Ransomware LockBit 3.0

Agencias del gobierno de EE. UU. publican un aviso conjunto de seguridad cibernética

Agencias del gobierno de EE. UU. ha publicado un aviso conjunto de seguridad cibernética que detalla los indicadores de compromiso (IoC) y las tácticas, técnicas y procedimientos (TTP) asociados con el notorio ransomware LockBit 3.0.

"Las operaciones del ransomware LockBit 3.0 funcionan como un modelo de Ransomware como servicio (RaaS, Ransomware-as-a-Service) y es una continuación de las versiones anteriores del ransomware, LockBit 2.0 y LockBit", dijeron las autoridades.

La alerta es cortesía de la Oficina Federal de Investigaciones (FBI) de EE. UU., la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC).

Desde que surgieron a fines de 2019, los actores de LockBit han invertido importantes esfuerzos técnicos para desarrollar y perfeccionar su malware, publicando dos actualizaciones importantes: LockBit 2.0, lanzada a mediados de 2021, y LockBit 3.0, lanzada en junio de 2022. Las dos versiones también se conocen como LockBit Red y LockBit Black, respectivamente.

"LockBit 3.0 acepta argumentos adicionales para operaciones específicas en movimiento lateral y reinicio en modo seguro", según la alerta. "Si un afiliado de LockBit no tiene acceso al ransomware LockBit 3.0 sin contraseña, entonces un argumento de contraseña es obligatorio durante la ejecución del ransomware".

El ransomware también está diseñado para infectar solo aquellas máquinas cuya configuración de idioma no se superpone con las especificadas en una lista de exclusión, que incluye rumano (Moldavia), árabe (Siria) y tártaro (Rusia).

El acceso inicial a las redes de las víctimas se obtiene a través de la explotación del protocolo de escritorio remoto (RDP), compromisos no autorizados, campañas de phishing, abuso de cuentas válidas y armamento de aplicaciones públicas.

Al encontrar un punto de ingreso exitoso, el malware toma medidas para establecer persistencia, escalar privilegios, realizar movimientos laterales y purgar archivos de registro, archivos en la carpeta Papelera de reciclaje e instantáneas de Windows, antes de iniciar la rutina de cifrado.

"Se ha observado que los afiliados de LockBit usan varias herramientas gratuitas y de código abierto durante sus intrusiones", dijeron las agencias. "Estas herramientas se utilizan para una variedad de actividades, como reconocimiento de red, acceso remoto y tunelización, volcado de credenciales y exfiltración de archivos".

Una característica definitoria de los ataques es el uso de una herramienta de exfiltración personalizada denominada StealBit, que el grupo LockBit proporciona a los afiliados con fines de doble extorsión.

En noviembre, el Departamento de Justicia de EE. UU. informó que la variedad de ransomware LockBit se ha utilizado contra al menos 1.000 víctimas en todo el mundo, lo que ha generado una operación neta de más de 100 millones de dólares en ganancias ilícitas.

La firma de ciberseguridad industrial Dragos reveló a principios de este año que LockBit 3.0 fue responsable del 21% de los 189 ataques de ransomware detectados contra infraestructura crítica en el cuarto trimestre de 2022, lo que representa 40 incidentes. La mayoría de esos ataques afectaron a los sectores de alimentos y bebidas y manufactura.

El Centro de Quejas de Delitos en Internet (IC3) del FBI, en su último Informe de Delitos en Internet, incluyó a LockBit (149), BlackCat (114) y Hive (87) como las tres principales variantes de ransomware que victimizaron infraestructura crítica en 2022.

A pesar de la prolífica ola de ataques de LockBit, la banda de ransomware sufrió un duro golpe a fines de septiembre de 2022 cuando un desarrollador de LockBit descontento lanzó el código de construcción para LockBit 3.0, lo que genera preocupaciones de que otros actores criminales puedan aprovechar la situación y generar sus propias variantes.

El aviso se produce cuando el grupo de ransomware BianLian cambió su enfoque de encriptar los archivos de sus víctimas a ataques de extorsión de robo de datos puros, meses después de que la compañía de seguridad cibernética Avast lanzara un descifrador gratuito en enero de 2023.

En un desarrollo relacionado, Kaspersky ha publicado un descifrador gratuito para ayudar a las víctimas cuyos datos han sido bloqueados por una versión de ransomware basada en el código fuente de Conti que se filtró después de que la invasión rusa de Ucrania el año pasado provocó fricciones internas entre los miembros principales.

"Dada la sofisticación de las variantes de ransomware LockBit 3.0 y Conti, es fácil olvidar que las personas están ejecutando estas empresas criminales", señaló Intel 471 el año pasado. "Y, al igual que con las organizaciones legítimas, solo se necesita un descontento para desentrañar o interrumpir una operación compleja".

Jesus_Caceres