馃槑 60% Descuento:  Curso de Hacking Redes Inal谩mbricas >> Ver M谩s

Todo lo que debes saber sobre el peligroso ransomware LockBit (y como protegerte)

La Oficina Federal de Investigaciones (FBI) public贸 recientemente una alerta con detalles t茅cnicos e indicadores de compromiso asociados con los ataques del ransomware LockBit. 

Tambi茅n proporcion贸 informaci贸n para ayudar a las organizaciones a bloquear los intentos de este grupo de vulnerar sus redes. Asimismo, el FBI pidi贸 a las v铆ctimas reportar inmediatamente cualquier incidente relacionado con este ransomware.

La banda de ransomware LockBit ha estado muy activa desde septiembre de 2019 cuando se lanz贸 como un ransomware como servicio (RaaS). Desde esa fecha, los ciberdelincuentes han promocionado la banda, brindado apoyo en foros de hacking rusos y reclutado otros ciberdelincuentes para vulnerar y cifrar redes.

Dos a帽os m谩s tarde, en junio de 2021, LockBit anunci贸 LockBit 2.0 RaaS en su sitio de filtraci贸n de datos. Esto ocurri贸 despu茅s de que se le prohibiera a los desarrolladores del ransomware publicar en foros de ciberdelincuencia.

Nuevas funciones

Con el relanzamiento, la banda de ransomware redise帽贸 los sitios Tor y revis贸 el malware, agregando funciones m谩s avanzadas. El grupo incluy贸 el  cifrado autom谩tico de dispositivos en dominios de Windows a  trav茅s de pol铆ticas de grupo de Active Directory.

La banda ahora tambi茅n est谩  tratando de eliminar a los intermediarios al reclutar a personas internas para que les brinden acceso a las redes corporativas. El prop贸sito es obtener acceso  a trav茅s de las Redes Privadas Virtuales (VPN) y el Protocolo de Escritorio Remoto (RDP).

En enero, se descubri贸 que LockBit tambi茅n agreg贸 un cifrador de Linux dirigido a servidores VMware ESXi a su kit de herramientas.

Entre los detalles t茅cnicos sobre c贸mo funciona el ransomware LockBit, el FBI tambi茅n revel贸 que el malware viene con una ventana de depuraci贸n oculta. La ventana se puede activar durante el proceso de infecci贸n usando el atajo de teclado SHIFT + F1.

Una vez que aparece, se puede usar para ver informaci贸n en tiempo real sobre el proceso de cifrado y rastrear el estado de destrucci贸n de datos del usuario.

Ventana de estado del ransomware LockBit

El aviso de esta semana ocurre despu茅s de una alerta emitida por la agencia de seguridad cibern茅tica australiana en agosto de 2021. Dicha alerta advierte sobre el aumento constante de los ataques del ransomware LockBit. 

D铆as despu茅s, Accenture, una empresa de Fortune 500 y una de las firmas de consultor铆a y servicios de inform谩tica m谩s grandes del mundo confirm贸 que fue vulnerada. La empresa admiti贸 el incidente despu茅s de que LockBit amenazara con filtrar datos robados de su red y pidiera un rescate de 50 millones de d贸lares.

Dos meses despu茅s, Accenture tambi茅n revel贸 una filtraci贸n de datos despu茅s de la “extracci贸n de informaci贸n patentada” durante el ataque de agosto.

Las compa帽铆as deben reportar los incidentes

Si bien el FBI no dijo qu茅 provoc贸 esta alerta repentina, pidi贸 a los administradores y profesionales de ciberseguridad que compartieran informaci贸n sobre los ataques de LockBit dirigidos a las redes de sus empresas.

“El FBI est谩 buscando cualquier informaci贸n que se pueda compartir, [incluidos] registros de l铆mites que muestren la comunicaci贸n hacia y desde direcciones IP extranjeras. Asimismo, una nota de rescate de muestra, comunicaciones con los ciberdelincuentes, informaci贸n de la billetera de Bitcoin, el archivo de descifrado y/o una muestra benigna de un archivo cifrado”. 

El FBI est谩 alentando a los destinatarios de la alerta a reportar informaci贸n sobre actividades sospechosas o delictivas relacionadas a este ransomware. 

鈥淎l reportar cualquier informaci贸n relacionada, est谩s ayudando a compartir informaci贸n que le permite al FBI rastrear a los ciberdelincuentes. Asimismo, permite coordinarse con la industria privada y el gobierno de los Estados Unidos para prevenir futuras intrusiones y ataques.”

C贸mo defender tu red

El FBI tambi茅n proporcion贸 mitigaciones que ayudar铆an a los administradores a proteger sus redes contra los intentos de ataque del ransomware LockBit:

  • Requerir que todas las cuentas con inicios de sesi贸n con contrase帽a (p. ej., cuenta de servicio, cuentas de administrador y cuentas de administrador de dominio) tengan contrase帽as seguras y 煤nicas
  • Requerir autenticaci贸n multifactor para todos los servicios en la medida de lo posible
  • Mantener todos los sistemas operativos y software actualizados
  • Eliminar el acceso innecesario a los recursos compartidos administrativos
  • Usar un firewall basado en host para permitir solo conexiones a recursos compartidos administrativos a trav茅s del bloque de mensajes del servidor (SMB) desde un conjunto limitado de m谩quinas de administrador
  • Habilitar los archivos protegidos en el sistema operativo Windows para evitar cambios no autorizados en archivos cr铆ticos.

Los administradores tambi茅n pueden obstaculizar los esfuerzos de descubrimiento de redes de los operadores de ransomware al tomar estas medidas:

  • Segmentar las redes para evitar la propagaci贸n de ransomware
  • Identificar, detectar e investigar la actividad anormal y el posible ataque del ransomware con una herramienta de monitoreo de red
  • Implementar el acceso basado en el tiempo para las cuentas configuradas en el nivel de administrador y superior
  • Deshabilitar la l铆nea de comandos y las actividades y permisos de secuencias de comandos
  • Mantener copias de seguridad de datos sin conexi贸n, y mantener copias de seguridad y restauraci贸n regularmente
  • Asegurarse de que todos los datos de respaldo est茅n cifrados, sean inmutables y cubran toda la infraestructura de datos de la organizaci贸n

Pagar rescates est谩 mal visto, pero…

El FBI tambi茅n agreg贸 que no fomenta el pago de rescates y desaconseja a las empresas que lo hagan. Esto porque nada les garantiza que el pago las proteja de futuros ataques o filtraciones de datos.

Adem谩s, ceder a las demandas de las bandas de ransomware financ铆a a煤n m谩s sus operaciones y los motiva a atacar a m谩s v铆ctimas. Tambi茅n incentiva a otros grupos de delitos cibern茅ticos a unirse a ellos en la realizaci贸n de actividades ilegales.

A pesar de esto, el FBI reconoci贸 que las consecuencias de un ataque de ransomware podr铆an obligar a las empresas a considerar pagar rescates para proteger a los accionistas, clientes o empleados. La agencia de aplicaci贸n de la ley recomienda enf谩ticamente informar tales incidentes a las autoridades correspondientes.

Incluso despu茅s de pagar un rescate, el FBI a煤n insta a informar de inmediato los incidentes de ransomware. Reportar el incidente proporcionar谩 informaci贸n cr铆tica que permitir谩 a las autoridades prevenir futuros ataques al rastrear a los atacantes de ransomware y responsabilizarlos por sus acciones.

Deja un comentario

Adquiere tu Membres铆a Anual Wiser

Adquiere tu Membres铆a Anual Wiser y adquiere grandes beneficios

M谩s informaci贸n