Los ataques de Ransomware de la banda de cibercriminales, LockBit, están en constante evolución al hacer uso de una amplia gama de técnicas para llegar a comprometer a los objetivos y, al mismo tiempo, tomar las medidas necesarias para deshabilitar las soluciones de seguridad de punto final del equipo que intentan acceder y dejar riendas sueltas a sus acciones.
LockBit, que opera bajo el modelo de negocio Ransomware-as-a-Services (RaaS) como la mayoría de los grupos, se observó por primera vez en septiembre de 2019 y desde entonces se ha convertido en la cepa de ransomware más dominante de este año, superando a otros grupos conocidos como Conti, Hive y BlackCat.
“Los afiliados que usan los servicios de LockBit realizan sus ataques de acuerdo a sus preferencias y usan diferentes herramientas y técnicas para lograr su objetivo”, dijeron los analistas de seguridad de Cybereason Loïc Castel y Gal Romano. «A medida que el ataque avanza en la Cyber Kill Chain, las actividades de diferentes casos tienden a converger en actividades similares».
Esto implica que los autores de malware otorgan licencias de acceso a los afiliados, quienes ejecutan los ataques a cambio de usar sus herramientas e infraestructura y ganan hasta el 80% de cada pago de los rescates exitosos recibido de las víctimas.
LockBit también utiliza la técnica popular de doble extorsión para filtrar grandes cantidades de datos antes de cifrar los activos del objetivo, lo que le da al sindicato ciberdelincuente no menos de 850 víctimas en su sitio de fuga de datos que comenzó con este modus operandi desde mayo de 2022.
Imagen: Cybereason
Imagen: Cybereason
Según un análisis de datos del sitio de fuga realizado por la Unit42 de Palo Alto Networks, LockBit representó el 46 % de todos los eventos de filtración relacionados con ransomware durante el primer trimestre de 2022. Solo en junio, el grupo ha estado conectado a 44 ataques, lo que lo convierte uno de los grupos de ransomwares más activos de lo que llevamos de año.
Se sabe que los ataques de LockBit emplean varias vías para la infección inicial, entre las más conocidas son la explotación de puertos RDP, correos electrónicos de phishing para descargar payloads maliciosas o aprovechando fallas de servidor sin parches que permiten a los afiliados obtener acceso remoto a la red objetivo.
Después de este paso están las actividades de reconocimiento y robo de credenciales, que permiten a los actores moverse lateralmente a través de la red, establecer persistencia, escalar privilegios y lanzar el ransomware. Esto también va acompañado de la ejecución de comandos para eliminar las copias de seguridad y subvertir la detección por parte de los firewalls y el software antivirus.
En los tres años desde que LockBit apareció en escena, el esquema RaaS ha recibido dos actualizaciones notables, con los actores de amenazas presentando LockBit 2.0 en junio de 2021 y lanzando la tercera entrega del servicio, LockBit 3.0, el mes pasado con soporte para el pago de criptomonedas Zcash y un programa de recompensas de tipo Bug Bounty.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
