Las agencias del gobierno de EE. UU. publicaron un aviso de seguridad cibern\u00e9tica conjunto que detalla los indicadores de compromiso (IoC) y las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) asociados con el notorio ransomware LockBit 3.0.<\/p>\n
“Las operaciones del ransomware LockBit 3.0 funcionan como un modelo de Ransomware-as-a-Service (RaaS) y es una continuaci\u00f3n de las versiones anteriores del ransomware, LockBit 2.0 y LockBit”, dijeron las autoridades. dicho<\/a>.<\/p>\n La alerta es cortes\u00eda de la Oficina Federal de Investigaciones (FBI) de EE. UU., la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Centro de An\u00e1lisis e Intercambio de Informaci\u00f3n Multiestatal (MS-ISAC).<\/p>\n Desde que surgi\u00f3 a fines de 2019, el Actores de LockBit<\/a> ha invertido importantes esfuerzos t\u00e9cnicos para desarrollar y ajustar su malware, publicando dos actualizaciones importantes: LockBit 2.0, lanzada a mediados de 2021, y LockBit 3.0, lanzada en junio de 2022. Las dos versiones tambi\u00e9n se conocen como LockBit Red y LockBit Black, respectivamente.<\/p>\n “LockBit 3.0 acepta argumentos adicionales para operaciones espec\u00edficas en movimiento lateral y reinicio en modo seguro”, seg\u00fan el alerta<\/a>. “Si un afiliado de LockBit no tiene acceso al ransomware LockBit 3.0 sin contrase\u00f1a, entonces un argumento de contrase\u00f1a es obligatorio durante la ejecuci\u00f3n del ransomware”.<\/p>\n El ransomware tambi\u00e9n est\u00e1 dise\u00f1ado para infectar solo aquellas m\u00e1quinas cuya configuraci\u00f3n de idioma no se superpone con las especificadas en una lista de exclusi\u00f3n, que incluye rumano (Moldavia), \u00e1rabe (Siria) y t\u00e1rtaro (Rusia).<\/p>\n El acceso inicial a las redes de las v\u00edctimas se obtiene a trav\u00e9s de la explotaci\u00f3n del protocolo de escritorio remoto (RDP), compromisos no autorizados, campa\u00f1as de phishing, abuso de cuentas v\u00e1lidas y armamento de aplicaciones p\u00fablicas.<\/p>\n Al encontrar un punto de ingreso exitoso, el malware toma medidas para establecer persistencia, escalar privilegios, realizar movimientos laterales y purgar archivos de registro, archivos en la carpeta Papelera de reciclaje de Windows y instant\u00e1neas, antes de iniciar la rutina de cifrado.<\/p>\n “Se ha observado que los afiliados de LockBit usan varias herramientas gratuitas y de c\u00f3digo abierto durante sus intrusiones”, dijeron las agencias. “Estas herramientas se utilizan para una variedad de actividades, como reconocimiento de red, acceso remoto y tunelizaci\u00f3n, volcado de credenciales y exfiltraci\u00f3n de archivos”.<\/p>\n Una caracter\u00edstica definitoria de los ataques es el uso de una herramienta de exfiltraci\u00f3n personalizada denominada RobarBit<\/a>que el grupo LockBit proporciona a los afiliados con fines de doble extorsi\u00f3n.<\/p>\n En noviembre, el Departamento de Justicia de EE. UU. inform\u00f3 que la variedad de ransomware LockBit se ha utilizado contra al menos 1000 v\u00edctimas en todo el mundo, lo que ha generado una operaci\u00f3n neta de m\u00e1s de 100 millones de d\u00f3lares en ganancias il\u00edcitas.<\/p>\n La firma de ciberseguridad industrial Dragos, a principios de este a\u00f1o, revel\u00f3<\/a> que LockBit 3.0 fue responsable del 21 % de los 189 ataques de ransomware detectados contra infraestructura cr\u00edtica en el cuarto trimestre de 2022, lo que representa 40 incidentes. La mayor\u00eda de esos ataques afectaron a los sectores de alimentos y bebidas y manufactura.<\/p>\n El Centro de Quejas de Delitos en Internet (IC3) del FBI, en su \u00faltimo Informe de delitos en Internet<\/a>enumer\u00f3 a LockBit (149), BlackCat (114) y Hive (87) como las tres principales variantes de ransomware que victimizaron infraestructura cr\u00edtica en 2022.<\/p>\n A pesar de la prol\u00edfica serie de ataques de LockBit, la banda de ransomware sufri\u00f3 un duro golpe<\/a> a fines de septiembre de 2022, cuando un desarrollador de LockBit descontento lanz\u00f3 el c\u00f3digo de construcci\u00f3n para LockBit 3.0, lo que gener\u00f3 preocupaciones de que otros actores criminales pudieran aprovechar la situaci\u00f3n y generar sus propias variantes.<\/p>\n Descubra los peligros ocultos de las aplicaciones SaaS de terceros<\/p>\n \u00bfConoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? \u00danase a nuestro seminario web para conocer los tipos de permisos que se otorgan y c\u00f3mo minimizar el riesgo.<\/p>\n RESERVA TU ASIENTO<\/a><\/div>\n El aviso llega cuando el grupo de ransomware BianLian ha cambi\u00f3 su enfoque<\/a> desde cifrar los archivos de sus v\u00edctimas hasta ataques de extorsi\u00f3n de robo de datos puros, meses despu\u00e9s de que la empresa de ciberseguridad Avast lanzara un descifrador gratuito en enero de 2023.<\/p>\n En un desarrollo relacionado, Kaspersky ha publicado<\/a> un descifrador gratuito para ayudar a las v\u00edctimas cuyos datos han sido bloqueados por una versi\u00f3n de ransomware basada en el c\u00f3digo fuente de Conti que se filtr\u00f3 despu\u00e9s de que la invasi\u00f3n rusa de Ucrania el a\u00f1o pasado condujo a fricci\u00f3n interna<\/a> entre los miembros principales.<\/p>\n “Dada la sofisticaci\u00f3n de LockBit 3.0 y ransomware<\/a> variantes, es f\u00e1cil olvidar que las personas est\u00e1n ejecutando estas empresas criminales”, Intel 471 anotado<\/a> el a\u00f1o pasado. “Y, al igual que con las organizaciones leg\u00edtimas, solo se necesita un descontento para desentra\u00f1ar o interrumpir una operaci\u00f3n compleja”.<\/p>\n <\/p>\n