Detección del Ransomware LockBit
Tabla de contenidos:
A pesar de ser un jugador relativamente nuevo en la arena de amenazas cibernéticas, el ransomware LockBit rápidamente se ganó la fama de ser una cepa de malware prolífica y peligrosa. Durante 2020-2021, LockBit fue consistentemente incluido en la lista de las muestras maliciosas más activas y notorias. Para lograr esto, los mantenedores de LockBit aprovechan el modelo de Ransomware-as-a-Service (RaaS) para involucrar a más afiliados y continuar con los ataques. Además, aplican una práctica de doble extorsión para poner presión adicional sobre las víctimas y aumentar las posibilidades de que se pague el rescate.
¿Qué es el ransomware LockBit?
Inicialmente, el ransomware LockBit surgió en 2019 como el virus “ABCD”. Este apodo ocurrió debido a la extensión de archivo añadida a todos los archivos encriptados. Desde entonces, el malware evolucionó significativamente su arsenal malicioso y cambió la extensión a .lockbit. Actualmente, LockBit se anuncia activamente en los foros clandestinos, adquiriendo nuevos miembros para su programa RaaS. En 2020, los investigadores estimaron 75,000 dólares obtenidos por los vendedores de LockBit a través de un programa de afiliados.
Según el análisis de Coveware, LockBit concentra sus esfuerzos en medianas a grandes empresas, así como en entidades gubernamentales. Aún así, los mantenedores del ransomware tienen su propio “código moral” y evitan apuntar a organizaciones relacionadas con la atención médica, sindicatos laborales y educación. Además, LockBit termina su actividad en caso de que la dirección IP de la máquina objetivo se ubique en la Mancomunidad de Estados Independientes. La razón de esto podría ser el origen del desarrollador, quien afirma vivir en la región de Siberia de Rusia, según la entrevista con el equipo de Cisco Talos. Además, las estadísticas muestran tasas muy altas de recuperación de datos pagados acompañadas por un corto tiempo de recuperación. Eso significa que los operadores del malware tienden a seguir sus compromisos, lo cual se dice que es una parte importante del modelo de negocio de LockBit.
Sin embargo, no hay honor entre ladrones, y LockBit cada vez más apunta a grandes empresas para obtener ganancias. El enfoque principal son las firmas de TI que operan en EE. UU. y Europa. Los operadores de ransomware aplican exitosamente la práctica de doble extorsión, robando datos sensibles antes de encriptarlos. Para alentar a las víctimas a pagar el rescate, los mantenedores de LockBit regularmente publican volcado de datos junto con información sobre los últimos ataques en un sitio web dedicado. También se involucra a medios prominentes para hacer ruido sobre la empresa víctima y atraer la atención de sus socios comerciales al incidente.
Coveware afirma que a mayo de 2021, el pago de rescate promedio para las víctimas de LockBit es de 57,600 dólares. Sin embargo, usualmente se correlaciona con el alcance y escala de la empresa objetivo y podría ser mucho más grande.
Métodos de ataque de LockBit
LockBit utiliza una variedad de métodos sofisticados para proceder con el proceso de infección. Notablemente, es una cepa de malware auto-distribuida que requiere solo un par de horas dentro de la red para propagarse a través de ella encriptando todos los activos accesibles. Normalmente, los atacantes pasan días o semanas investigando la empresa objetivo. LockBit en su lugar, se basa en la automatización y aprovecha la intrusión a velocidad de rayo. Además, el malware procede con el reconocimiento durante la fase de encriptación para causar el máximo daño.
Para obtener acceso inicial al entorno, LockBit generalmente depende de correos electrónicos de phishing. También, las vulnerabilidades conocidas y los servidores RDP son comúnmente utilizados para la infección. Luego, el ransomware entra en la etapa de reconocimiento, utilizando herramientas como Mimikatz, PowerShell y Cobalt Strike para investigación y movimiento lateral. SMB, tablas ARP, y PowerShell se utilizan para la propagación. Finalmente, LockBit se ejecuta en memoria, típicamente con un comando de Instrumentación de Administración de Windows (WMI), y comienza la encriptación. Inmediatamente después, se deja una nota de rescate en varias carpetas en el anfitrión.
Detección de LockBit
Para prevenir posibles infecciones y proteger la infraestructura de la empresa de esta notoria amenaza, puedes descargar un conjunto de reglas Sigma y YARA liberadas por nuestros desarrolladores de Threat Bounty en Threat Detection Marketplace.
Detección de ransomware LockBit
Detección de carga útil de ransomware (LockBit)
La lista completa de contenido de Threat Detection Marketplace dedicado a la detección de ataques de LockBit está disponible aquí.
Suscríbete a Threat Detection Marketplace, una plataforma líder en la industria de Content-as-a-Service (CaaS) que impulsa el flujo de trabajo completo de CI/CD para la detección de amenazas al proporcionar contenido SOC calificado, multi-vendedor y multi-herramienta. ¿Deseas crear tu propio contenido de detección y participar en iniciativas de caza de amenazas? ¡Únete a nuestro Programa Threat Bounty y obtén recompensas por tu contribución!
