Lockbit ransomware: el software malicioso es el más rápido y preocupa a los expertos

Lockbit ransomware: el software malicioso es el más rápido y preocupa a los expertos

El ransomware LockBit es una de las amenazas más recientes, se vio en 2021 y volvió con todo de nuevo en la primera mitad de este año acechando a organizaciones de todo el mundo, especialmente en Brasil.

Con velocidades un 86% superiores a la media del ransomware, este tipo de ataque ya ha golpeado a grandes empresas del sector tecnológico, y reafirma cada vez más que no importa el tamaño de la organización para que se convierta en una víctima más.

En su versión más reciente, LockBit 2.0 incorpora una serie de nuevas funciones, entre ellas un perfeccionamiento potencialmente peligroso que pretende cifrar dominios enteros de Windows a través de políticas de grupo.

Al causar la interrupción del negocio, el ataque LockBit puede crear graves daños a las organizaciones. En uno de los ataques registrados en Brasil, en agosto de 2021, las pérdidas se calcularon en más de 200 millones de reales por el pago del rescate de archivos, además de nuevas inversiones para el control de pérdidas y esfuerzos de seguridad, según el monitoreo de ISH Tecnologia.

Para que tu empresa no sea la siguiente, a continuación, te contamos lo que necesitas saber para proteger tus sistemas y no convertirte en otra víctima de LockBit. Sigue

¿Qué es el ransomware LockBit?

LockBit es una banda de ciberdelincuentes que opera utilizando un modelo de ransomware como servicio (RaaS), similar al de DarkSide y REvil.

LockBit ofrece su plataforma de ransomware para que otras entidades o particulares la utilicen basándose en un modelo de afiliación.

Cualquier pago de rescate recibido por utilizar LockBit se divide entre el cliente que ejecuta el ataque y la banda de LockBit.

Se cree que LockBit está relacionado con las familias de malware LockerGoga y MegaCortex. Comparte tácticas, técnicas y procedimientos (TTP) comunes con esos ataques maliciosos, en particular la capacidad de propagarse automáticamente a nuevos objetivos, ser utilizado en ataques dirigidos en lugar de simplemente enviar spam o atacar organizaciones indiscriminadamente, y las herramientas subyacentes en las que se basa, como Windows PowerShell y Server Message Block (SMB).

Cuando se compromete un único host, LockBit puede escanear la red para localizar e infectar otros dispositivos accesibles. Utiliza herramientas y protocolos nativos de los sistemas Windows, lo que dificulta que las herramientas de seguridad de endpoints detecten o identifiquen la actividad como maliciosa.

El software malicioso está diseñado para cifrar datos. Los ciberdelincuentes que están detrás de la infección exigen un pago (rescate) a cambio de herramientas/software de descifrado. Durante el proceso de cifrado, LockBit retitula los archivos con la extensión ".abcd". Después de este proceso, un archivo de texto -"Restore-My-Files.txt" se deja caer en todas las carpetas afectadas.

Todos los ransomware cifran datos y exigen un pago para descifrarlos. Las diferencias cruciales entre cada uno de ellos son el algoritmo criptográfico utilizado (simétrico o asimétrico) y la cuantía del rescate. Este último suele oscilar entre sumas de tres y cuatro dígitos (en dólares estadounidenses). Las monedas digitales (principalmente criptomonedas) son las preferidas por los ciberdelincuentes porque sus transacciones son difíciles/imposibles de rastrear.

El ransomware LockBit sigue adaptándose y evolucionando. Las nuevas variantes han adoptado el modelo de doble extorsión: localizar y extraer datos valiosos antes de cifrar los sistemas.

Los datos robados suponen un incentivo adicional para que las víctimas paguen el rescate. Incluso si pueden restaurar los datos a partir de copias de seguridad, negarse a pagar el rescate podría dar lugar a que los datos confidenciales se hicieran públicos o se vendieran a la competencia.

Aprenda a protegerse

No hay una buena opción para una organización cuando un ataque de ransomware compromete sistemas y datos cifrados. Esto es especialmente cierto en el caso de un ataque de doble extorsión.

Negarse a pagar el rescate significa pasar por el doloroso proceso de restaurar los datos a partir de copias de seguridad y tratar de recuperar el control y la funcionalidad de sus sistemas, al tiempo que acepta que es probable que sus datos queden expuestos.

Pagar el rescate puede permitir a la víctima volver a sus operaciones rápidamente y evitar la publicación o venta de datos, pero, por el contrario, las investigaciones muestran que el 80% de las empresas que pagan un rescate acaban siendo atacadas de nuevo.

En primer lugar, es importante contar con una protección eficaz para prevenir el ataque de ransomware. Las organizaciones necesitan tener una visión del ataque y la capacidad de visualizar toda la operación maliciosa. Reconocer los indicadores de comportamiento permite a la empresa detectar y bloquear los ataques de ransomware y protegerse contra amenazas como LockBit.

Para ello, necesitan invertir en una solución antiransomware que no se base únicamente en los Indicadores de Compromiso (IOC), ya que la comunidad de seguridad no conoce todas las cadenas de ataque del ransomware. 

Necesita una plataforma multicapa que utilice Indicadores de Comportamiento (IOB) para que los equipos de seguridad puedan detectar y cerrar una cadena de ataques de ransomware, independientemente de si alguien la ha visto antes. Por ello, busque una solución que ofrezca las siguientes características:

  • Prevención de ransomware y fraude: la solución debe utilizar una combinación de detecciones de comportamiento y técnicas de fraude propias que expongan las amenazas de ransomware más complejas y detengan el ataque antes de que se pueda cifrar cualquier dato crítico;

  • Antivirus basado en inteligencia artificial: también debería bloquear las variantes conocidas de ransomware, aprovechando un conjunto cada vez mayor de inteligencia sobre amenazas basada en ataques detectados previamente;

  • Antivirus de nueva generación: una solución de nueva generación (NGAV) funciona con aprendizaje automático y reconoce componentes maliciosos en el código para bloquear variantes desconocidas de ransomware antes de su ejecución;

  • Protección contra ransomware sin archivos: esto permite a la solución detener los ataques con ransomware sin archivos que las herramientas antivirus tradicionales pasan por alto;

  • Controles de puntos finales: por último, la solución debe proteger los puntos finales de los ataques mediante la gestión de políticas de seguridad, el mantenimiento de controles de dispositivos, la implantación de cortafuegos personales y la aplicación de cifrado de disco completo en diversos tipos de dispositivos.

Además de la tecnología, la formación del personal de la empresa es esencial. Al igual que otras formas de ransomware, LockBit se basa en que las personas no reconozcan las amenazas cuando llegan.

Garantizar que sus equipos reciben formación periódica y actualizada sobre los tipos de amenazas que pueden surgir es una medida defensiva sustancial contra el ransomware LockBit.

LockBit es una amenaza maliciosa y generalizada, y las organizaciones deben ser conscientes de en qué se diferencia de otras formas de ransomware. Pero los principios de las mejores prácticas de ciberseguridad siguen siendo los mismos, incluida la formación interna y el uso de una plataforma con las últimas capacidades para detener la amenaza.

¿Le ha gustado saber más sobre el ransomware LockBit?

Siga nuestra página de Twitter y manténgase al día de todas las noticias publicadas semanalmente por nuestro equipo de inteligencia en ciberseguridad.

No dude en ponerse en contacto con nuestro equipo de expertos para obtener más información sobre cómo proteger los datos de su organización.



Etiquetas: , , , , ,

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *.

Copyright © 2022 ISH Tecnologia, Todos los derechos reservados.