LockBit ransomware es un tipo de malware diseñado para impedir que los usuarios accedan a los sistemas informáticos y exigir un rescate para recuperarlos. LockBit busca automáticamente objetivos valiosos, propaga infecciones y cifra todos los sistemas informáticos disponibles en la red. El ransomware se utiliza para lanzar ataques dirigidos contra empresas y otras organizaciones.
Como ciberataque independiente, se sabe que los atacantes de LockBit amenazan a organizaciones de todo el mundo con:
- Interrumpir las operaciones por la detención repentina de las funciones esenciales.
- Extorsionarlas para el beneficio financiero del hacker.
- Robar datos y publicación ilegal de estos como chantaje si la víctima no paga el rescate.
LockBit es un ataque de ransomware en una larga línea de ciberataques de extorsión. Antes conocido como el ransomware «ABCD» (denominado así por la extensión del archivo utilizada al cifrar los archivos de la víctima), se ha convertido en una amenaza única en el ámbito de estas herramientas de extorsión.
LockBit es una subclase de ransomware, también conocido como «virus de cifrado», que se enfoca en empresas y organizaciones gubernamentales. Opera como un servicio (RaaS) y comparte similitudes con otras familias de ransomware como DarkSide y BlackMatter.
Funcionamiento de LockBit
Se auto distribuyen por toda una organización en lugar de requerir una administración manual. Tienen un objetivo concreto en lugar de propagarse de forma dispersa como el malware de spam. Utilizan herramientas similares para propagarse, como Windows Powershell y Server Message Block (SMB).
La característica principal es su capacidad de auto propagación. En su programación, LockBit está dirigido por procesos prediseñados automatizados. Esto lo distingue de muchos otros ataques de ransomware que se realizan manualmente en la red, que pueden tardar semanas para completar el reconocimiento y la vigilancia.
Después de que el atacante infecta manualmente un solo host, LockBit puede encontrar otros hosts accesibles, conectarlos a otros infectados y propagar la infección mediante un script. El proceso se lleva a cabo y se repite sin intervención humana.
Además, utiliza herramientas en patrones que son nativos de casi todos los sistemas informáticos Windows. También oculta el archivo de cifrado ejecutable disfrazándolo como el formato de archivo de imagen .PNG común, con lo que dificulta la detección de actividades maliciosas por parte de los endpoint y así logra engañar las defensas del sistema.
Tipos de amenazas de LockBit
La amenaza de LockBit puede ser un problema de gran magnitud. La detección de las variantes de LockBit puede ayudar a identificar exactamente a lo que se está enfrentando.
Variante 1: la extensión .abcd
La versión original de LockBit cambia el nombre de los archivos, suplantando su extensión por «.abcd». Además, inserta en cada carpeta el archivo «Restore-My-Files.txt», que contiene la nota de rescate con exigencias e instrucciones para la supuesta restauración.
Variante 2: la extensión .LockBit
La segunda versión conocida de este ransomware adoptó la extensión de archivo «.LockBit», lo que le da su apodo actual. Sin embargo, las víctimas observarán que otros rasgos de esta versión son casi idénticos, a pesar de algunas revisiones del backend.
Variante 3: versión 2 de .LockBit
Esta versión identificable de LockBit ya no requiere descargar el navegador Tor en sus instrucciones de rescate, sino que envía a las víctimas a un sitio web alternativo a través de un acceso tradicional a Internet.
Se han introducido mejoras a LockBit, cuenta con funciones más dañinas, como la opción de anular los puntos de control de los permisos administrativos. También desactiva los avisos de seguridad que los usuarios pueden ver cuando una aplicación intenta ejecutarse como administrador.
Además, el malware está configurado para robar copias de los datos del servidor e incluye líneas adicionales de chantaje incluidas en la nota de rescate. En caso de que la víctima no siga las instrucciones, LockBit amenaza con hacer públicos los datos privados de esta.
Tácticas, técnicas y procedimientos (TTP)
LockBit emplea una serie de tácticas técnicas y procedimientos identificados por MITRE.
Entre ellas se encuentra el cifrado de datos en sistemas objetivo o en múltiples sistemas dentro de una red para interrumpir la disponibilidad de recursos del sistema y de la red (T1486). Además, los adversarios utilizan la inyección de código en procesos como método para evadir defensas basadas en procesos y, potencialmente, elevar privilegios (T1055). También se observa la modificación maliciosa de componentes del entorno de la víctima por parte de los atacantes para obstaculizar o desactivar mecanismos defensivos (T1562). Por último, los adversarios emplean técnicas de ofuscación de archivos o información, tales como cifrado, codificación u ofuscación de contenido, con el objetivo de dificultar su descubrimiento o análisis (T1027).
Estos métodos forman parte de las actividades maliciosas de LockBit en el contexto del ransomware. Durante las intrusiones se ha observado que los afiliados utilizan herramientas de código abierto y gratuito destinadas a uso legal. Una vez reusadas por LockBit, estas herramientas se emplean para actividades maliciosas como: Reconocimiento de redes, acceso remoto y tunelización, exfiltración de archivos y credenciales entre otros.
En la mayoría de las intrusiones se observa el uso de PowerShell y secuencias de comandos por lotes. En su mayoría estos se centran en:
- Descubrimiento del sistema
- Reconocimiento
- Búsqueda de contraseña
- Escalar privilegios
De igual forma se ha observado herramientas profesionales de pruebas de penetración como Metasploit y Cobal Strike. A continuación, se mencionan las herramientas más utilizadas.
| Nombre | Descripción | MITRE ATT&CK ID |
| 7-zip | Comprime la data para evitar la detección antes de la exfiltración. | T1562 Impair Defenses |
| AdFind | Compila la información del Directorio activo usada para explotar la red de la víctima, escalar privilegios y facilitar el movimiento lateral. | S0552 AdFind |
| IP Scanners | Usado para mapear la red de la víctima y posibles vectores de acceso. | T1046 Network Service Discovery |
| Advance Port Scanner | Permite encontrar puertos TCP y UDP para explotación. | T1046 Network Service Discovery |
| Advance Run | Permite escalar privilegios al cambiar las configuraciones antes de correr el software. | TA0004 Privilege Escalation |
| AnyDesk | Permite tomar control remoto de la víctima. | T1219 Remote Access Software |
| Atera Remote Monitoring & Management | Remote Monitoring & MAnagement habilita el control remoto de dispositivos en la red de la víctima. | T1219 Remote Access Software |
CVE Explotados comúnmente
CVE-2021-22986: F5 iControl REST no autenticado, Vulnerabilidad de ejecución remota de código.
CVE-2023-0669: Fortra GoAnyhwere Managed File Transfer (MFT) Ejecución remota de código.
CVE-2023-27350: Vulnerabilidad de control de acceso inadecuado de PaperCut MF/NG.
CVE-2021-44228: Vulnerabilidad de ejecución remota de código de Apache Log4j2.
CVE-2021-22986: F5 BIG-IP and BIG-IQ Centralized Management iControl REST Remote. Vulnerabilidad de ejecución remota de código,
CVE-2020-1472: Vulnerabilidad de escalada de privilegios de NetLogon.
CVE-2019-0708: Vulnerabilidad de ejecución remota de código de Microsoft Remote Desktop Services.
CVE-2018-13379: Red privada virtual (VPN) Secure Sockets Layer (SSL) de Fortinet FortiOS. Vulnerabilidad de Path Traversal.
Eliminación y descifrado de LockBit
Si una organización resulta víctima del ataque y está infectada, la eliminación del ransomware LockBit por sí sola no dará acceso a los archivos.
Se debe utilizar una herramienta para restaurar el sistema, ya que el cifrado requiere una «clave» para desbloquearlo. Como alternativa, se puede restaurar los sistemas mediante el uso de copias de seguridad previas a la infección.
Mitigaciones para protegerse del ransomware LockBit
Implementa contraseñas seguras: gran número de vulneraciones de cuentas ocurren debido al uso de contraseñas fáciles de adivinar o que son tan simples que una herramienta de algoritmos las descubre a los pocos días de haberlas empezado a tantear. Se sugiere utilizar contraseñas seguras, más largas y con variaciones de caracteres.
Activar la autenticación multi factor: es una tecnología de seguridad que requiere múltiples métodos de autenticación de categorías independientes de credenciales para verificar la identidad de un usuario para un inicio de sesión u otra transacción. La autenticación multi factor combina dos o más credenciales independientes: lo que el usuario sabe, como una contraseña; lo que tiene el usuario, como un token de seguridad; y qué es el usuario, mediante el uso de métodos de verificación biométrica.
Simplificar los permisos de las cuentas de usuario: limitar los permisos a niveles más estrictos para evitar que las posibles amenazas pasen desapercibidas. Prestar especial atención a los permisos asignados a los usuarios de los endpoints y las cuentas de TI con permisos de nivel de administrador. Los dominios web, las plataformas de colaboración, los servicios de reuniones en la web y las bases de datos de las empresas deben estar protegidos.
Borrar las cuentas de usuario desactualizadas y no utilizadas: es posible que algunos sistemas más antiguos tengan cuentas de empleados anteriores que nunca se desactivaron ni cerraron. El último paso de una revisión de los sistemas debería incluir la eliminación de estos posibles puntos débiles.
Asegurarse de que las configuraciones del sistema sigan todos los procedimientos de seguridad: esto puede llevar un tiempo, pero revisar las configuraciones existentes puede revelar nuevos problemas y directivas obsoletas que pueden poner a la organización bajo riesgo de ataque. Los procedimientos operativos estándar se deben volver a evaluar periódicamente para mantenerlos actualizados contra las nuevas amenazas cibernéticas.
Tener copias de seguridad de todo el sistema e imágenes limpias de los equipos locales: los incidentes ocurrirán y la única protección real contra la pérdida permanente de los datos es una copia sin conexión. La organización debe crear copias de seguridad periódicamente para estar al día de cualquier cambio importante en los sistemas, es recomendable tener varios puntos de copia de seguridad en caso de que una de ellas se contamine con una infección de malware. Garantizar que todos los datos de las copias de seguridad estén cifrados y sean inmutables.
Referencias