Observatorio de Amenazas

LockBit 3.0: La última y más sofisticada iteración del grupo de ransomware

Escrito por Javiera González | 06-06-23

El grupo de ransomware LockBit, también conocido como Bitwise Spider, ha sido reconocido por ser uno de los más activos a nivel mundial entre 2022 y 2023. Con una alta tasa de éxito en sus ataques, afectando a varias organizaciones en Latinoamérica generando consecuencias devastadoras. Durante abril y mayo de 2023 se ha mantenido como la familia de ransom más activa.

LockBit ha demostrado mantener un avance constante para mantenerse activo, desde su primera aparición en 2019 con su versión 1.0 hasta la versión 3.0 a finales de 2022, demostrando los esfuerzos continuos del grupo por mejorar y adaptarse para romper las defensas cibernéticas actuales.

Actualizaciones del ransomware 

El LockBit original poseía un bug que permitía descifrar los archivos encriptados, lo que llevó a la mejora de la versión 2.0, la cual agregó características como copias instantáneas y eliminación de archivos de registro para dificultar la recuperación de las víctimas. También, se enfocó en el cifrado de dispositivos en Windows, utilizando protocolos de acceso remoto para infiltrarse en los sistemas de las víctimas.

En 2022, luego de que el FBI y Microsoft dieran a conocer varios indicadores de compromiso y errores que permitían revertir el proceso de cifrado de la versión 2.0, estos actores maliciosos dieron un amplio salto que no solo solventó los problemas de su anterior versión, sino también, añadió mejoras considerables. La versión 3.0, también conocida como LockBit Black, ha logrado mantenerse dentro de los ransomware más activos gracias a sus últimas características, además de una serie de mejoras en el aspecto comercial, como:

    • Reclutamiento de afiliados mediante publicidad.
    • Programa de recompensas para colaborar en lugar de competir con otros cibercriminales.
    • Opciones en su página web para las organizaciones atacadas. Esto incluye la descarga de información sensible y la posibilidad de eliminar parte de los datos publicados a cambio de un pago.
    • Aumento en su repertorio de tipos de criptomonedas afiliadas, lo que facilita el pago de los rescates.

El comportamiento de LockBit 3.0

Los actores maliciosos poseen diferentes métodos de acceso inicial, entre ellos: la explotación del protocolo de escritorio remoto (RDP), técnicas Drive-by, campañas de phishing y spear phishing, además del abuso de cuentas válidas filtradas en deep y dark web, y la explotación de aplicaciones públicas.

LockBit 3.0 busca propagarse por la red de la víctima escalando privilegios, utilizando credenciales de plataformas internas con contraseñas preconfiguradas o cuentas comprometidas con altos privilegios. Además, puede utilizar opciones para difundirse a través de objetos de política de grupo y PsExec mediante el protocolo SMB. Su objetivo principal es cifrar los datos almacenados en dispositivos, evitando la encriptación de archivos esenciales del sistema, para así mantener la infraestructura intacta, pero los datos inutilizables.

Después de realizar su tarea principal, posee tareas de autoeliminación, junto con cualquier modificación de la política de grupo que se haya hecho según las opciones seleccionadas durante su creación, dificultando la capacidad de generar una tarea forense detallada sobre el ataque. 

Los actores maliciosos afiliados a LockBit 3.0 utilizan herramientas como Stealbit, rclone y servicios de intercambio de archivos públicos como MEGA para robar y filtrar información antes de cifrar los archivos de la empresa. Estas herramientas, aunque tienen usos legítimos, también pueden ser utilizadas de manera maliciosa para comprometer sistemas y robar datos.

Objetivos del grupo 

La industria manufacturera es la más afectada por los ataques de LockBit, seguida por el retail. Aunque también se han registrado ataques en las industrias de salud y educación, el grupo evita afectar la disponibilidad de servicios en infraestructuras críticas debido a lo que ellos llaman: estricta ética. En un caso donde se atacó un hospital, el grupo se disculpó y proporcionó un descifrador de forma gratuita.

En septiembre de 2022, el Departamento de Informática del Poder Judicial de Chile, fue atacado por la última versión de este ransomware, así lo confirmó el CSIRT en una alerta de seguridad. En ese entonces, de aproximadamente 15.000 computadoras, 3.500 utilizaban Windows 7 y dentro de esas 150 fueron infectados por el malware.

En abril de 2023, se reveló que LockBit, en conjunto con Clop, otro grupo de ransomware, estaban detrás de un ataque a la empresa PaperCut, explotando vulnerabilidades para robar datos corporativos.

IoC asociados a LockBit 3.0

A continuación, se presentan algunos indicadores de compromiso asociados a este ataque para que puedan ser cargados a las distintas plataformas de seguridad de las organizaciones:

  • a736269f5f3a9f2e11dd776e352e1801bc28bb699e47876784b8ef761e0062db
  • ea6d4dedd8c85e4a6bb60408a0dc1d56def1f4ad4f069c730dc5431b1c23da37
  • cc3d006c2b963b6b34a90886f758b7b1c3575f263977a72f7c0d1922b7feab92
  • 03b8472df4beb797f7674c5bc30c5ab74e8e889729d644eb3e6841b0f488ea95
  • a0db5cff42d0ee0de4d31cff5656ed1acaa6b0afab07d19f9f296d2f72595a56
  • ae993930cb5d97caa5a95b714bb04ac817bcacbbf8f7655ec43e8d54074e0bd7 

 

Medidas preventivas

Actualmente, el ransomware amenaza y pone en riesgo el funcionamiento de organizaciones de todos los niveles. A pesar de las medidas de prevención, los ataques evaden las defensas, lo que resulta en pérdida prolongada de infraestructura y datos críticos. Estos eventos afectan la continuidad operativa de las organizaciones.

Las estadísticas indican que en Chile, el 62% de los ataques de ransomware están asociados a un error involuntario de un colaborador y el 84% de los colaboradores indica no estar al tanto de cómo sumarse a la estrategia corporativa de ciberseguridad. Frente a esto, es primordial contar con programas online de concientización y capacitación para colaboradores que permita mantenerlos alerta frente a posibles amenazas y que adquieran una conducta que aporte a la ciberdefensa.

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a fallas de día cero:

  • Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
  • Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
  • Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.

Fuentes

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-075a

https://www.pcrisk.es/guias-de-desinfeccion/11977-lockbit-ransomware-mac

https://www.malaespinacheck.cl/tecnologia-y-redes/2023/03/17/que-es-un-lockbit-la-mayor-amenaza-para-la-ciberseguridad/

https://www.welivesecurity.com/la-es/2022/06/30/ransomware-lockbit-3-0-anuncia-programa-bug-bounty/

https://www.bleepingcomputer.com/news/security/microsoft-clop-and-lockbit-ransomware-behind-papercut-server-hacks/ 

https://www.ciberseguridad.eus/empresa-segura/utilidades-empresa/guias-estudios-informes/informe-de-malware-lockbit

https://portalinnova.cl/estos-son-los-grupos-cibercriminales-detras-de-los-principales-ciberataques/ 

https://security-garage.com/index.php/es/investigaciones/analisis-del-actor-de-ransomware-lockbit

https://devel.group/blog/lockbit-3-0-nueva-actualizacion-para-el-ransomware-mas-activo-a-nivel-mundial/

https://blogs.vmware.com/security/2022/10/lockbit-3-0-also-known-as-lockbit-black.html