Detección del Ransomware LockBit 2.0: La Infame Amenaza Resurge con Nuevas Técnicas de Ataque y Métodos de Encriptación
Tabla de contenidos:
Los operadores de LockBit están acelerando rápidamente. La banda ha estado en el radar de los profesionales de la ciberseguridad desde 2019, renovándose con el lanzamiento de un ransomware LockBit versión 2.0 en junio de 2021. El 7 de febrero de 2022, el Buró Federal de Investigaciones (FBI) publicó IOC, advirtiendo sobre los ataques del ransomware LockBit 2.0. Los datos actuales sugieren que la nueva campaña se caracteriza por la rápida exfiltración de datos y la exposición de información sensible robada.
Actualización de LockBit 2.0
Desde el verano de 2021, el grupo LockBit ha estado activamente buscando nuevos afiliados. El programa de contratación fue exitoso, y el número de organizaciones impactadas por la banda LockBit aumentó constantemente, cayendo víctima de técnicas de ataque novedosas y más eficientes y métodos de extorsión. Entre las víctimas se encuentran organizaciones de todos los tamaños, incluidas las de la lista Fortune 500, universidades e instalaciones de salud. La última actualización equipó a los adversarios con la encriptación automática de dispositivos a través de dominios de Windows al abusar de las políticas de grupo de Active Directory. LockBit 2.0 comenzó a anunciarse para buscar informantes en agosto de 2021 con el fin de obtener acceso inicial a las redes de las empresas, prometiendo parte de las ganancias de un asalto exitoso.
Cadena de Ataque de LockBit 2.0
LockBit 2.0 se gestiona como un Ransomware-as-a-Service (RaaS) impulsado por afiliados, adoptando un arsenal diverso de tácticas, técnicas y procedimientos (TTPs), que obstruyen la efectividad de las mejores prácticas de defensa y mitigación. Los adversarios apuntan a redes empleando enfoques maliciosos como la explotación de vulnerabilidades no parcheadas, el acceso interno y los exploits de día cero. Además, se sabe que los operadores de LockBit compran acceso a objetivos vulnerables, comprometidos por hackers de terceros mediante técnicas de phishing y fuerza bruta de cuentas RDP.
Cuando una red es violada, los afiliados utilizan aplicaciones personalizadas y legítimas, como Mimikatz, para robar las credenciales de autenticación de la víctima. Luego, Lockbit 2.0 analiza la configuración del sistema y el idioma del usuario y solo ataca a aquellos que no coinciden con una lista de idiomas de Europa del Este. La aplicación de ransomware no propaga la infección si detecta un idioma de Europa del Este en el dispositivo, lo que señala el origen de sus mantenedores. LockBit 2.0 apunta a archivos de registro y copias de seguridad; recopila información del sistema, buscando encriptar todos los datos en discos locales y remotos, excepto los archivos necesarios para las funciones principales del sistema. El malware auto-propagante se elimina del disco después de completar la operación de encriptación. Los perpetradores siempre dejan una nota de rescate en cada directorio afectado detallando cómo obtener de ellos el software de desencriptación. La nota de rescate además amenaza con publicar la información sensible robada en su sitio doxing a menos que se pague un rescate.
LockBit 2.0 también desarrolló un malware basado en Linux que aprovecha vulnerabilidades dentro de las máquinas virtuales ESXi de VMWare.
Detección de Malware de LockBit 2.0
La nueva generación de LockBit 2.0 está ganando rápidamente aceptación, poniendo mucha presión sobre las industrias en todo el mundo. Para protegerse de la creciente amenaza, puede descargar un conjunto de reglas Sigma publicado por nuestros experimentados desarrolladores de Threat Bounty Nattatorn Chuensangarun and Kaan Yeniyol:
Política GPO de Fuerza de Ransomware LockBit 2.0 (vía process_creation)
Detectar Ransomware LockBit 2.0 a través del Registro
Ransomware LockBit 2.0 Tubería Nombrada
La lista completa de contenido del Mercado de Detección de Amenazas dedicada a la detección de ataques de LockBit está disponible aquí.
También recomendamos que inspeccione las Guías de la Industria: Defendiendo Contra Ataques de Ransomware proporcionadas por Vlad Garaschenko, CISO en SOC Prime. Estas guías cubren mejores prácticas para la defensa contra ransomware y ofrecen una profunda visión de estadísticas de ransomware, tendencias importantes, y las Tácticas, Técnicas y Procedimientos (TTPs) aplicados por las principales bandas de ransomware.
Para mantenerse un paso adelante de los actores de ransomware, puede además descargar un paquete de reglas de Detección de Ransomware de SOC Prime que agrupa más de 35 detecciones para identificar muestras nefastas como Ruyk, DoppelPaymer, Conti, LockBit, Avaddon y más. Todas las reglas están mapeadas directamente al marco de MITRE ATT&CK® y enriquecidas con el contexto y la inteligencia de amenazas correspondientes.
Regístrese gratis en la plataforma Detection as Code de SOC Prime para agilizar sus operaciones SOC con mejores prácticas y experiencia compartida. ¿Está ansioso por crear su propio contenido de detección y participar en iniciativas de caza de amenazas? Aproveche el poder de la comunidad global de ciberseguridad y monetice su contribución.
