Todo lo que debes saber sobre el peligroso ransomware LockBit (y como protegerte)
La Oficina Federal de Investigaciones (FBI) publicó recientemente una alerta con detalles técnicos e indicadores de compromiso asociados con los ataques del ransomware LockBit.
También proporcionó información para ayudar a las organizaciones a bloquear los intentos de este grupo de vulnerar sus redes. Asimismo, el FBI pidió a las víctimas reportar inmediatamente cualquier incidente relacionado con este ransomware.
La banda de ransomware LockBit ha estado muy activa desde septiembre de 2019 cuando se lanzó como un ransomware como servicio (RaaS). Desde esa fecha, los ciberdelincuentes han promocionado la banda, brindado apoyo en foros de hacking rusos y reclutado otros ciberdelincuentes para vulnerar y cifrar redes.
Dos años más tarde, en junio de 2021, LockBit anunció LockBit 2.0 RaaS en su sitio de filtración de datos. Esto ocurrió después de que se le prohibiera a los desarrolladores del ransomware publicar en foros de ciberdelincuencia.
Nuevas funciones
Con el relanzamiento, la banda de ransomware rediseñó los sitios Tor y revisó el malware, agregando funciones más avanzadas. El grupo incluyó el cifrado automático de dispositivos en dominios de Windows a través de políticas de grupo de Active Directory.
La banda ahora también está tratando de eliminar a los intermediarios al reclutar a personas internas para que les brinden acceso a las redes corporativas. El propósito es obtener acceso a través de las Redes Privadas Virtuales (VPN) y el Protocolo de Escritorio Remoto (RDP).
En enero, se descubrió que LockBit también agregó un cifrador de Linux dirigido a servidores VMware ESXi a su kit de herramientas.
Entre los detalles técnicos sobre cómo funciona el ransomware LockBit, el FBI también reveló que el malware viene con una ventana de depuración oculta. La ventana se puede activar durante el proceso de infección usando el atajo de teclado SHIFT + F1.
Una vez que aparece, se puede usar para ver información en tiempo real sobre el proceso de cifrado y rastrear el estado de destrucción de datos del usuario.
El aviso de esta semana ocurre después de una alerta emitida por la agencia de seguridad cibernética australiana en agosto de 2021. Dicha alerta advierte sobre el aumento constante de los ataques del ransomware LockBit.
Días después, Accenture, una empresa de Fortune 500 y una de las firmas de consultoría y servicios de informática más grandes del mundo confirmó que fue vulnerada. La empresa admitió el incidente después de que LockBit amenazara con filtrar datos robados de su red y pidiera un rescate de 50 millones de dólares.
Dos meses después, Accenture también reveló una filtración de datos después de la “extracción de información patentada” durante el ataque de agosto.
Las compañías deben reportar los incidentes
Si bien el FBI no dijo qué provocó esta alerta repentina, pidió a los administradores y profesionales de ciberseguridad que compartieran información sobre los ataques de LockBit dirigidos a las redes de sus empresas.
“El FBI está buscando cualquier información que se pueda compartir, [incluidos] registros de límites que muestren la comunicación hacia y desde direcciones IP extranjeras. Asimismo, una nota de rescate de muestra, comunicaciones con los ciberdelincuentes, información de la billetera de Bitcoin, el archivo de descifrado y/o una muestra benigna de un archivo cifrado”.
El FBI está alentando a los destinatarios de la alerta a reportar información sobre actividades sospechosas o delictivas relacionadas a este ransomware.
“Al reportar cualquier información relacionada, estás ayudando a compartir información que le permite al FBI rastrear a los ciberdelincuentes. Asimismo, permite coordinarse con la industria privada y el gobierno de los Estados Unidos para prevenir futuras intrusiones y ataques.”
Cómo defender tu red
El FBI también proporcionó mitigaciones que ayudarían a los administradores a proteger sus redes contra los intentos de ataque del ransomware LockBit:
- Requerir que todas las cuentas con inicios de sesión con contraseña (p. ej., cuenta de servicio, cuentas de administrador y cuentas de administrador de dominio) tengan contraseñas seguras y únicas
- Requerir autenticación multifactor para todos los servicios en la medida de lo posible
- Mantener todos los sistemas operativos y software actualizados
- Eliminar el acceso innecesario a los recursos compartidos administrativos
- Usar un firewall basado en host para permitir solo conexiones a recursos compartidos administrativos a través del bloque de mensajes del servidor (SMB) desde un conjunto limitado de máquinas de administrador
- Habilitar los archivos protegidos en el sistema operativo Windows para evitar cambios no autorizados en archivos críticos.
Los administradores también pueden obstaculizar los esfuerzos de descubrimiento de redes de los operadores de ransomware al tomar estas medidas:
- Segmentar las redes para evitar la propagación de ransomware
- Identificar, detectar e investigar la actividad anormal y el posible ataque del ransomware con una herramienta de monitoreo de red
- Implementar el acceso basado en el tiempo para las cuentas configuradas en el nivel de administrador y superior
- Deshabilitar la línea de comandos y las actividades y permisos de secuencias de comandos
- Mantener copias de seguridad de datos sin conexión, y mantener copias de seguridad y restauración regularmente
- Asegurarse de que todos los datos de respaldo estén cifrados, sean inmutables y cubran toda la infraestructura de datos de la organización
Pagar rescates está mal visto, pero…
El FBI también agregó que no fomenta el pago de rescates y desaconseja a las empresas que lo hagan. Esto porque nada les garantiza que el pago las proteja de futuros ataques o filtraciones de datos.
Además, ceder a las demandas de las bandas de ransomware financía aún más sus operaciones y los motiva a atacar a más víctimas. También incentiva a otros grupos de delitos cibernéticos a unirse a ellos en la realización de actividades ilegales.
A pesar de esto, el FBI reconoció que las consecuencias de un ataque de ransomware podrían obligar a las empresas a considerar pagar rescates para proteger a los accionistas, clientes o empleados. La agencia de aplicación de la ley recomienda enfáticamente informar tales incidentes a las autoridades correspondientes.
Incluso después de pagar un rescate, el FBI aún insta a informar de inmediato los incidentes de ransomware. Reportar el incidente proporcionará información crítica que permitirá a las autoridades prevenir futuros ataques al rastrear a los atacantes de ransomware y responsabilizarlos por sus acciones.