Blog

¿Cómo LockBit Ransomware logra comprometer a una organización?

Los ataques de Ransomware de la banda de cibercriminales, LockBit, están en constante evolución al hacer uso de una amplia gama de técnicas para llegar a comprometer a los objetivos y, al mismo tiempo, tomar las medidas necesarias para deshabilitar las soluciones de seguridad de punto final del equipo que intentan acceder y dejar riendas sueltas a sus acciones.

LockBit, que opera bajo el modelo de negocio Ransomware-as-a-Services (RaaS) como la mayoría de los grupos, se observó por primera vez en septiembre de 2019 y desde entonces se ha convertido en la cepa de ransomware más dominante de este año, superando a otros grupos conocidos como Conti, Hive y BlackCat.

Los afiliados que usan los servicios de LockBit realizan sus ataques de acuerdo a sus preferencias y usan diferentes herramientas y técnicas para lograr su objetivo”, dijeron los analistas de seguridad de Cybereason Loïc Castel y Gal Romano«A medida que el ataque avanza más a lo largo de la cadena de muerte, las actividades de diferentes casos tienden a converger en actividades similares».

Esto implica que los autores de malware otorgan licencias de acceso a los afiliados, quienes ejecutan los ataques a cambio de usar sus herramientas e infraestructura y ganan hasta el 80% de cada pago de los rescates exitosos recibido de las víctimas.

LockBit también utiliza la técnica popular de doble extorsión para filtrar grandes cantidades de datos antes de cifrar los activos del objetivo, lo que le da al sindicato ciberdelincuente no menos de 850 víctimas en su sitio de fuga de datos que comenzó con este modus operandi desde mayo de 2022.

Ciclo de vida del ataque: estudio de caso número 1
Imagen: Cybereason
Ciclo de vida del ataque: estudio de caso número 2
Imagen: Cybereason

Según un análisis de datos del sitio de fuga realizado por la Unit42 de Palo Alto Networks, LockBit representó el 46 % de todos los eventos de filtración relacionados con ransomware durante el primer trimestre de 2022. Solo en junio, el grupo ha estado conectado a 44 ataques, lo que lo convierte uno de los grupos de ransomwares más activos de lo que llevamos de año.

Se sabe que los ataques de LockBit emplean varias vías para la infección inicial, entre las más conocidas son la explotación de puertos RDP, correos electrónicos de phishing para descargar payloads maliciosas o aprovechando fallas de servidor sin parches que permiten a los afiliados obtener acceso remoto a la red objetivo.

Después de este paso están las actividades de reconocimiento y robo de credenciales, que permiten a los actores moverse lateralmente a través de la red, establecer persistencia, escalar privilegios y lanzar el ransomware. Esto también va acompañado de la ejecución de comandos para eliminar las copias de seguridad y subvertir la detección por parte de los firewalls y el software antivirus.

En los tres años desde que LockBit apareció en escena, el esquema RaaS ha recibido dos actualizaciones notables, con los actores de amenazas presentando LockBit 2.0 en junio de 2021 y lanzando la tercera entrega del servicio, LockBit 3.0, el mes pasado con soporte para el pago de criptomonedas Zcash y un programa de recompensas de tipo Bug Bounty.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required