Detección de Ransomware LockBit 3.0: Operación Renovada
Tabla de contenidos:
LockBit grupo regresa, introduciendo una nueva variante de su ransomware, LockBit 3.0. Los adversarios bautizaron su último lanzamiento LockBit Black, mejorándolo con nuevas tácticas de extorsión e introduciendo una opción para pagar en Zcash, añadiendo a las opciones de pago con criptomonedas existentes Bitcoin y Monero.
Esta vez, los hackers de LockBit están haciendo titulares al lanzar el primer programa de recompensas de errores jamás lanzado por una banda de cibercrimen. En su apelación a hackers de todo tipo, los adversarios prometen una recompensa monetaria por un error o idea de mejora que varíe entre $1000 y $1 millón. También se ofrece el precio más alto a cualquiera que sea el primero en identificar al gerente afiliado, conocido como LockBitSupp.
Detectar el malware LockBit 3.0
Para ayudar a las organizaciones a proteger mejor su infraestructura, nuestro desarrollador de Threat Bounty entusiasta Kaan Yeniyol ha lanzado recientemente la regla Sigma que permite una rápida detección del malware LockBit 3.0. Los equipos de seguridad pueden descargar estas reglas desde la Plataforma Detection as Code de SOC Prime:
Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix, Snowflake y Open Distro.
La regla está mapeada al marco MITRE ATT&CK® v.10, abordando la táctica de Ejecución con Interprete de Comandos y Scripts (T1059) como la técnica principal.
¿Estás ansioso por crear tus propias reglas Sigma y YARA para hacer el mundo más seguro? Únete a nuestro Programa de Desarrolladores para obtener recompensas recurrentes por tu valiosa aportación!
La lista completa de reglas Sigma para detectar cualquier variante de ransomware asociada con los hackers de LockBit está disponible para todos los usuarios registrados en la plataforma Detection as Code. Presiona el botón Detectar y Cazar para explorar detecciones completamente curadas y verificadas. Los usuarios no registrados pueden acceder al kit de reglas dedicadas al ransomware LockBit y los metadatos contextuales relevantes pulsando el botón Explorar Contexto de Amenaza .
Detectar y Cazar Explorar Contexto de Amenaza
Análisis de LockBit 3.0
El grupo LockBit surgió por primera vez en 2019, resurgiendo en junio de 2021 con la variante de ransomware LockBit 2.0 . La operación se considera una de las más vigorosas en el panorama de amenazas, superando en número de víctimas a grupos tan notorios como Black Basta, Hive, y Conti..
El equipo de LockBit está expandiendo continuamente su alcance, introduciendo soluciones innovadoras y apropiándose de fórmulas ya probadas en el mercado del ransomware. Los analistas de seguridad advierten que actualmente es difícil predecir cuántas modificaciones implementadas en la operación LockBit 3.0 aún permanecen desconocidas. Según datos de investigación recientemente revelados, LockBit Black muestra semejanza de código con el ransomware BlackMatter , utilizado en muchos ataques de alto perfil el verano pasado. Los investigadores especulan que esto podría indicar que exdesarrolladores de BlackMatter podrían haber participado en la escritura de la última variante de LockBit.
Entre las novedades recientemente introducidas, como el pago en Zcash y un programa de recompensas de errores, LockBit ahora vende los datos robados de las víctimas.
Para buscar oportunamente señales de compromiso de esta y otras amenazas emergentes, aprovecha los beneficios de la defensa cibernética colaborativa uniéndote a nuestra comunidad global de ciberseguridad en la plataforma SOC Prime’s Detection as Code. Aprovecha las detecciones precisas y oportunas entregadas por profesionales experimentados para potenciar las operaciones de tu equipo SOC y la postura de seguridad.
