Las agencias del gobierno de EE. UU. publicaron un aviso de seguridad cibernética conjunto que detalla los indicadores de compromiso (IoC) y las tácticas, técnicas y procedimientos (TTP) asociados con el notorio ransomware LockBit 3.0.
“Las operaciones del ransomware LockBit 3.0 funcionan como un modelo de Ransomware-as-a-Service (RaaS) y es una continuación de las versiones anteriores del ransomware, LockBit 2.0 y LockBit”, dijeron las autoridades. dicho.
La alerta es cortesía de la Oficina Federal de Investigaciones (FBI) de EE. UU., la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC).
Desde que surgió a fines de 2019, el Actores de LockBit ha invertido importantes esfuerzos técnicos para desarrollar y ajustar su malware, publicando dos actualizaciones importantes: LockBit 2.0, lanzada a mediados de 2021, y LockBit 3.0, lanzada en junio de 2022. Las dos versiones también se conocen como LockBit Red y LockBit Black, respectivamente.
“LockBit 3.0 acepta argumentos adicionales para operaciones específicas en movimiento lateral y reinicio en modo seguro”, según el alerta. “Si un afiliado de LockBit no tiene acceso al ransomware LockBit 3.0 sin contraseña, entonces un argumento de contraseña es obligatorio durante la ejecución del ransomware”.
El ransomware también está diseñado para infectar solo aquellas máquinas cuya configuración de idioma no se superpone con las especificadas en una lista de exclusión, que incluye rumano (Moldavia), árabe (Siria) y tártaro (Rusia).
El acceso inicial a las redes de las víctimas se obtiene a través de la explotación del protocolo de escritorio remoto (RDP), compromisos no autorizados, campañas de phishing, abuso de cuentas válidas y armamento de aplicaciones públicas.
Al encontrar un punto de ingreso exitoso, el malware toma medidas para establecer persistencia, escalar privilegios, realizar movimientos laterales y purgar archivos de registro, archivos en la carpeta Papelera de reciclaje de Windows y instantáneas, antes de iniciar la rutina de cifrado.
“Se ha observado que los afiliados de LockBit usan varias herramientas gratuitas y de código abierto durante sus intrusiones”, dijeron las agencias. “Estas herramientas se utilizan para una variedad de actividades, como reconocimiento de red, acceso remoto y tunelización, volcado de credenciales y exfiltración de archivos”.
Una característica definitoria de los ataques es el uso de una herramienta de exfiltración personalizada denominada RobarBitque el grupo LockBit proporciona a los afiliados con fines de doble extorsión.
En noviembre, el Departamento de Justicia de EE. UU. informó que la variedad de ransomware LockBit se ha utilizado contra al menos 1000 víctimas en todo el mundo, lo que ha generado una operación neta de más de 100 millones de dólares en ganancias ilícitas.
La firma de ciberseguridad industrial Dragos, a principios de este año, reveló que LockBit 3.0 fue responsable del 21 % de los 189 ataques de ransomware detectados contra infraestructura crítica en el cuarto trimestre de 2022, lo que representa 40 incidentes. La mayoría de esos ataques afectaron a los sectores de alimentos y bebidas y manufactura.
El Centro de Quejas de Delitos en Internet (IC3) del FBI, en su último Informe de delitos en Internetenumeró a LockBit (149), BlackCat (114) y Hive (87) como las tres principales variantes de ransomware que victimizaron infraestructura crítica en 2022.
A pesar de la prolífica serie de ataques de LockBit, la banda de ransomware sufrió un duro golpe a fines de septiembre de 2022, cuando un desarrollador de LockBit descontento lanzó el código de construcción para LockBit 3.0, lo que generó preocupaciones de que otros actores criminales pudieran aprovechar la situación y generar sus propias variantes.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
El aviso llega cuando el grupo de ransomware BianLian ha cambió su enfoque desde cifrar los archivos de sus víctimas hasta ataques de extorsión de robo de datos puros, meses después de que la empresa de ciberseguridad Avast lanzara un descifrador gratuito en enero de 2023.
En un desarrollo relacionado, Kaspersky ha publicado un descifrador gratuito para ayudar a las víctimas cuyos datos han sido bloqueados por una versión de ransomware basada en el código fuente de Conti que se filtró después de que la invasión rusa de Ucrania el año pasado condujo a fricción interna entre los miembros principales.
“Dada la sofisticación de LockBit 3.0 y ransomware variantes, es fácil olvidar que las personas están ejecutando estas empresas criminales”, Intel 471 anotado el año pasado. “Y, al igual que con las organizaciones legítimas, solo se necesita un descontento para desentrañar o interrumpir una operación compleja”.