La creación de ransomware se convirtió en una industria clandestina hace algún tiempo, con todo y servicio de soporte técnico, centros de prensa y compañas publicitarias. Como sucede con cualquier otra industria, para crear un producto competitivo es necesario la mejora continua. LockBit, por ejemplo, es el más reciente de una serie de grupos de cibercriminales que publicitan la capacidad de automatizar la infección de computadoras locales mediante un controlador de dominio.
LockBit sigue el modelo de Ransomware como Servicio (RaaS) mediante el cual proporciona a sus clientes (los atacantes reales) la infraestructura y el malware a cambio de una parte del rescate. Penetrar en la red de la víctima es responsabilidad del contratista; y en lo que respecta a la distribución del ransomware por la red, LockBit diseñó una tecnología bastante interesante.
Distribución de LockBit 2.0
Después de que los atacantes obtienen acceso a la red y llegan al controlador de dominio, Bleeping Computer reporta, ejecutan malware ahí y crean nuevas políticas de grupo de usuarios, las cuales posteriormente se implementan en cada dispositivo de la red. Las políticas primero desactivan la tecnología de seguridad integrada del sistema operativo. Otras políticas después crean una tarea programada en todas las máquinas con Windows para ejecutar el archivo ejecutable del ransomware.
Bleeping Computer cita al investigador Vitali Kremez cuando dice que el ransomware utiliza la API de Active Directory de Windows para realizar consultas de Protocolo ligero de acceso a directorios (Lightweight Directory Access Protocol, LADP) para obtener una lista de computadoras. Posteriormente, LockBit evita el Control de cuenta de usuario (UAC) y se ejecuta en silencio, sin activar ninguna alerta en el dispositivo que está siendo cifrado.
Al parecer, esto representa la primera expansión de malware de mercado masivo mediante las políticas de grupo de usuarios. Además, LockBit 2.0 entrega notas de rescate de manera singular, al imprimir la nota en todas las impresoras conectadas a la red.
¿Cómo puedo proteger a mi empresa de amenazas similares?
Ten en cuenta que el controlador de dominio es en realidad un servidor de Windows, y como tal, necesita protección. Kaspersky Security for Windows Server, el cual incluye la mayoría de nuestras soluciones de seguridad de endpoints para negocios y protege a los servidores que ejecutan Windows de casi todas las amenazas modernas, debe ser parte de tu arsenal.
Sin embargo, la propagación del ransomware mediante políticas de grupo representa la última etapa de un ataque. La actividad maliciosa debería ser evidente mucho antes, por ejemplo, cuando los atacantes ingresen por primera vez a la red o intenten secuestrar el controlador de dominio. Las soluciones Managed Detection and Response son particularmente efectivas para detectar las señales de este tipo de ataques.
Lo que es más importante, con frecuencia, los cibercriminales utilizan técnicas de ingeniería social y correo electrónico con phishing para obtener el acceso inicial. Para evitar que tus empleados caigan en estos trucos, mejora su concienciación en ciberseguridad mediante formación periódica.