Definición de LockBit
El ransomware LockBit es un software malicioso diseñado para bloquear el acceso de los usuarios a los sistemas informáticos y pedir el pago de un rescate para restablecerlo. LockBit busca automáticamente objetivos valiosos, propaga la infección y cifra todos los sistemas informáticos accesibles en una red. Este ransomware se utiliza para lanzar ataques selectivos contra empresas y otras organizaciones. Como es un ciberataque autopilotado, los atacantes de LockBit se caracterizan por amenazar a organizaciones de todo el mundo con:
- Interrumpir las operaciones por la detención repentina de las funciones esenciales.
- Extorsionarlas para el beneficio financiero del hacker.
- Robar datos y publicación ilegal de estos como chantaje si la víctima no paga el rescate.
¿Qué es el ransomware LockBit?
LockBit es un nuevo ataque de ransomware en una larga línea de ciberataques de extorsión. Antes conocido como el ransomware «ABCD», se ha convertido en una amenaza única en el ámbito de estas herramientas de extorsión. LockBit es una subclase de ransomware conocido como «virus de cifrado» que exige como rescate el pago de dinero a cambio de descifrar archivos. Se centra más en las empresas y organizaciones gubernamentales y no tanto en los particulares.
Los primeros ataques con LockBit comenzaron en septiembre de 2019, y fue entonces que recibió el apodo «virus .abcd». El apodo hacía referencia la extensión del archivo utilizada al cifrar los archivos de la víctima. Entre los objetivos anteriores más importantes figuran organizaciones de los Estados Unidos, China, India, Indonesia y Ucrania. Además, varios países europeos (Francia, Reino Unido y Alemania) han sufrido ataques.
Los objetivos viables son aquellos que se sentirán tan obstaculizados por la interrupción, que preferirán una suma abundante, y que tendrán los fondos para hacerlo. Como tal, esto puede dar lugar a ataques generalizados contra grandes empresas, desde el sector de la salud hasta las instituciones financieras. Durante la investigación preliminar automatizada, también parece evitar intencionalmente atacar los sistemas locales de Rusia o de cualquier otro país de la Comunidad de Estados Independientes. Es probable que se lo haga para evitar acciones penales en esas áreas.
LockBit funciona como ransomware como servicio (RaaS). Las partes interesadas dejan un depósito para usar los ataques personalizados que se contratan y obtienen beneficios en un marco de afiliados. Los pagos del rescate se dividen entre el equipo de desarrolladores de LockBit y los atacantes afiliados, que reciben hasta ¾ de los fondos del rescate.
¿Cómo funciona el ransomware LockBit?
Muchas autoridades consideran que el ransomware LockBit forma parte de la familia de malware «LockerGoga & MegaCortex». Esto simplemente significa que tiene comportamientos similares a los de estas formas consolidadas de ransomware selectivo. A modo de explicación rápida, entendemos que estos ataques:
- Se autodistribuyen por toda una organización en lugar de requerir una administración manual.
- Tienen un objetivo concreto en lugar de propagarse de forma dispersa como el malware de spam.
- Utilizan herramientas similares para propagarse, como Windows Powershell y Server Message Block (SMB).
Lo más importante es su capacidad de autopropagación. En su programación, LockBit está dirigido por procesos prediseñados automatizados. Esto lo distingue de muchos otros ataques de ransomware que se realizan manualmente en la red, a veces durante semanas, para completar el reconocimiento y la vigilancia.
Después de que el atacante infecta manualmente un solo host, LockBit puede encontrar otros hosts accesibles, conectarlos a otros infectados y propagar la infección mediante un script. El proceso se lleva a cabo y se repite sin intervención humana.
Además, utiliza herramientas en patrones que son nativos de casi todos los sistemas informáticos Windows. Los sistemas de seguridad de los endpoints tienen dificultades para detectar actividades maliciosas. También oculta el archivo de cifrado ejecutable disfrazándolo como el formato de archivo de imagen .PNG común, con lo que engaña aún más a las defensas del sistema.
Etapas de los ataques de LockBit
Los ataques de LockBit pueden entenderse en aproximadamente tres etapas:
- Explotar
- Infiltrarse
- Implementar
Etapa 1: Explotar las debilidades de una red. La brecha inicial es muy similar a otros ataques maliciosos. Una organización puede ser explotada por tácticas de ingeniería social como el phishing, que consiste en que los atacantes se hacen pasar por personal o autoridades de confianza para solicitar credenciales de acceso. Resulta igualmente viable el uso de ataques de fuerza bruta contra los servidores de la intranet y los sistemas de red de una organización. Si la red carece de una configuración adecuada, las sondas de ataque pueden tardar solo unos días en realizar su trabajo.
Una vez que LockBit entra en la red, el ransomware prepara el sistema para liberar su carga útil de cifrado en todos los dispositivos que pueda. Sin embargo, es posible que un atacante deba asegurarse de que se realicen algunos pasos adicionales antes de dar el golpe final.
Etapa 2: Infiltrarse más profundamente para completar la configuración del ataque si es necesario. A partir de aquí, el programa LockBit realiza toda la actividad por sí mismo. Está programado para utilizar lo que se conoce como herramientas de «posexplotación» para obtener privilegios escalonados y lograr el nivel de acceso necesario para lanzar los ataques. También está presente a través de un acceso ya disponible mediante un movimiento lateral para examinar la viabilidad del objetivo.
En esta etapa LockBit toma las medidas de preparación necesarias antes de implementar el cifrado del ransomware. Esto incluye la desactivación de los programas de seguridad y de cualquier otra infraestructura que pudiera permitir la recuperación del sistema.
El objetivo de la infiltración es imposibilitar la recuperación sin ayuda, o hacer que sea tan lenta que pagar el rescate exigido por el atacante sea la única solución práctica. Cuando la víctima está desesperada por que las operaciones vuelvan a la normalidad es cuando pagará el rescate.
Etapa 3: Implementar la carga de cifrado. Una vez que la red está lista para que LockBit se movilice por completo, el ransomware empezará a propagarse a través de cualquier máquina a la que pueda acceder. Como se ha mencionado anteriormente, LockBit no necesita gran cosa para completar esta etapa. Una sola unidad de sistema con alto nivel de acceso puede emitir comandos a otras unidades de la red para descargar LockBit y ejecutarlo.
La etapa del cifrado pondrá un «candado» en todos los archivos del sistema. Las víctimas solo podrán desbloquear sus sistemas con una clave personalizada creada por la herramienta de descifrado patentada de LockBit. El proceso también deja copias de un simple archivo de texto de notas de rescate en cada carpeta del sistema. Este proporciona a la víctima instrucciones para restaurar su sistema e incluso incluye la amenaza de chantaje en algunas versiones de LockBit.
Una vez completadas todas las etapas, los siguientes pasos quedan a cargo de la víctima. Puede decidir comunicarse con el servicio de asistencia técnica de LockBit y pagar el rescate. Sin embargo, se aconseja no ceder a sus demandas. Las víctimas no tienen garantías de que los atacantes vayan a cumplir con su parte del trato.
Tipos de amenazas de LockBit
Como se trata del ataque de ransomware más reciente, la amenaza de LockBit puede ser un problema de gran magnitud. No podemos descartar la posibilidad de que se arraigue en muchos sectores y organizaciones, sobre todo con el reciente aumento del teletrabajo. La detección de las variantes de LockBit puede ayudar a identificar exactamente a qué te estás enfrentando.
Variante 1: la extensión .abcd
La versión original de LockBit cambia el nombre de los archivos, suplantando su extensión por «.abcd». Además, inserta en cada carpeta el archivo «Restore-My-Files.txt», que contiene la nota de rescate con exigencias e instrucciones para la supuesta restauración.
Variante 2: la extensión .LockBit
La segunda versión conocida de este ransomware adoptó la extensión de archivo «.LockBit», lo que le da su apodo actual. Sin embargo, las víctimas observarán que otros rasgos de esta versión son casi idénticos, a pesar de algunas revisiones del backend.
Variante 3: versión 2 de .LockBit
La siguiente versión identificable de LockBit ya no requiere descargar el navegador Tor en sus instrucciones de rescate, sino que envía a las víctimas a un sitio web alternativo a través de un acceso tradicional a Internet.
Actualizaciones y revisiones continuas de LockBit
Recientemente, se han introducido mejoras a LockBit, que ahora cuenta con funciones más dañinas, como la opción de anular los puntos de control de los permisos administrativos. LockBit ahora desactiva los avisos de seguridad que los usuarios pueden ver cuando una aplicación intenta ejecutarse como administrador.
Además, el malware ahora está configurado para robar copias de los datos del servidor e incluye líneas adicionales de chantaje incluidas en la nota de rescate. En caso de que la víctima no siga las instrucciones, LockBit amenaza ahora con hacer públicos los datos privados de esta.
Eliminación y descifrado de LockBit
Si tu organización ya está infectada, la eliminación del ransomware LockBit por sí sola no te dará acceso a tus archivos. Deberás utilizar una herramienta para restaurar el sistema, ya que el cifrado requiere una «clave» para desbloquearlo. Como alternativa, puedes restaurar tus sistemas mediante la creación de una nueva imagen si ya has creado imágenes de copia de seguridad previas a la infección.
Cómo protegerse del ransomware LockBit
En definitiva, tendrás que establecer medidas de protección para garantizar que tu organización resista cualquier tipo de ransomware o ataque malicioso que requiera una compensación. Estas son algunas prácticas que pueden ayudarte a prepararte:
- Implementa contraseñas seguras. Muchas vulneraciones de cuentas ocurren debido al uso de contraseñas fáciles de adivinar o que son tan simples que una herramienta de algoritmos las descubre a los pocos días de haberlas empezado a tantear. Elige contraseñas seguras, más largas y con variaciones de caracteres, y de usar reglas creadas por ti mismo para crear frases de contraseña.
- Activa la autenticación de varios factores. Detén los ataques de fuerza bruta agregando capas adicionales de protección a tus inicios de sesión con contraseña. Incluye medidas como la biometría o los autenticadores de claves de dispositivos USB físicos en todos tus sistemas cuando sea posible.
- Vuelve a evaluar y simplifica los permisos de las cuentas de usuario. Limita los permisos a niveles más estrictos para evitar que las posibles amenazas pasen desapercibidas. Presta especial atención a los permisos asignados a los usuarios de los endpoints y las cuentas de TI con permisos de nivel de administrador. Los dominios web, las plataformas de colaboración, los servicios de reuniones en la web y las bases de datos de las empresas deben estar protegidos.
- Borra las cuentas de usuario desactualizadas y no utilizadas. Es posible que algunos sistemas más antiguos tengan cuentas de empleados anteriores que nunca se desactivaron ni cerraron. El último paso de una revisión de los sistemas debería incluir la eliminación de estos posibles puntos débiles.
- Asegúrate de que las configuraciones del sistema sigan todos los procedimientos de seguridad. Esto puede llevar un tiempo, pero revisar las configuraciones existentes puede revelar nuevos problemas y directivas obsoletas que pueden poner a tu organización bajo riesgo de ataque. Los procedimientos operativos estándar se deben volver a evaluar periódicamente para mantenerlos actualizados contra las nuevas amenazas cibernéticas.
- Debes tener siempre preparadas copias de seguridad de todo el sistema e imágenes limpias de los equipo locales. Los incidentes ocurrirán y la única protección real contra la pérdida permanente de los datos es una copia sin conexión. Tu organización debe crear copias de seguridad periódicamente para estar al día de cualquier cambio importante en los sistemas. En caso de que una copia de seguridad se contamine con una infección de malware, considera la posibilidad de tener varios puntos de copia de seguridad rotativos para seleccionar un período limpio.
Artículos relacionados: