abril 19, 2021

LockBit, el nuevo ransomware de alquiler: una historia triste y cautelosa

Una nota de rescate está pegada en un monitor portátil.

El ransomware se ha convertido en una de las principales amenazas para las grandes organizaciones en los últimos años, y los investigadores han visto un aumento de más de cuatro veces en las detecciones el año pasado. Una infección reciente por una cepa bastante nueva llamada LockBit explica por qué: después de saquear la red de una compañía mal protegida en cuestión de horas, los líderes no tuvieron más remedio que pagar el rescate.

Un informe publicado por McAfee documenta la efectividad de este nuevo ransomware. Los encuestados incidentes con Northwave Intelligent Security Operations contribuyeron al análisis. LockBit es más popular en países como Estados Unidos, Reino Unido, Francia, Alemania, Ucrania, China, India e Indonesia.

McAfee

Los atacantes comenzaron a buscar objetivos potenciales con datos valiosos y los medios para realizar grandes pagos frente a la débil posibilidad de perder el acceso. Los atacantes luego usaron una lista de palabras con la esperanza de obtener acceso a una de las cuentas. Al final, llegaron al premio gordo: una cuenta administrativa que tenía rienda suelta en toda la red. La contraseña de la cuenta débil, junto con la falta de protección de autenticación de múltiples factores, proporcionó a los atacantes todos los derechos del sistema que necesitaban.

Sigilo, automatización y discreción.

Muchos competidores de LockBit como Ryuk confían en hackers humanos vivos que, una vez que obtienen acceso no autorizado, pasan mucho tiempo detectando y monitoreando la red de un objetivo y, por lo tanto, liberando el código que lo cifrará. LockBit funcionó de manera diferente.

«La parte interesante de esta pieza de ransomware es que se propaga completamente», dijo Patrick van Looy, un especialista en seguridad cibernética de Northwave, una de las compañías que respondió a la infección. “Así que el atacante solo estuvo en la red durante unas horas. Normalmente vemos que un atacante está dentro de la red durante días o incluso semanas y realiza este reconocimiento de la red manualmente. «

Después de unirse, LockBit usó un método doble para mapear e infectar la red victimizada. Las tablas ARP (que traducen las direcciones IP de la red local en nombres de dominio) ayudaron a localizar sistemas accesibles y a bloquear los mensajes del servidor (un protocolo utilizado para compartir archivos y carpetas entre máquinas en la red) permitieron a los nodos infectados conectarse a los no infectados. LockBit ejecutará un script de PowerShell que distribuye el ransomware en esas máquinas.

El uso de SMB, tablas ARP y PowerShell es una forma cada vez más común de propagar malware en una red y con buenas razones. Dado que casi todas las redes dependen de estas herramientas, es difícil para los antivirus y otras defensas de red detectar su uso malicioso. LockBit tenía otra forma de mantenerse sigiloso. El archivo malicioso descargado del script de PowerShell fue enmascarado como una imagen PNG. De hecho, el archivo descargado era un programa ejecutable que cifraba los archivos en la máquina.

LockBit tenía otro truco inteligente. Antes de los datos cifrados del ransomware, se conectaban a un servidor controlado por el atacante y luego usaban la dirección IP de la máquina para determinar dónde estaba. Si residiera en Rusia u otro país perteneciente a la Comunidad de Estados Independientes, detendría el proceso. Es muy probable que la razón evite ser procesada por las autoridades policiales.

Una vez que los datos fueron bloqueados, las computadoras de la organización dejaron un escritorio como este:

McAfee

La nota sobre ransomware se veía así:

McAfee

Atención al cliente, determinación y confianza.

En una falla trágica pero muy común, la organización que fue afectada por LockBit no ha tenido copias de seguridad recientes. Con toda la red conectada, los líderes podrían elegir pagar el rescate o perder sus datos para siempre. Optaron por la primera opción.

Utilizando un sitio Tor, la organización pagó el rescate y, después de varias horas, utilizó el mismo servicio anónimo para obtener la clave de descifrado. Al igual que muchos otros operadores de ransomware, quienes estaban detrás de este ataque tenían una mesa de soporte que se comunicaba sobre el mensajero anónimo Jabber para resolver varios problemas que la organización tenía al reconstruir la red bloqueada.

LockBit se vende en foros de corretaje subterráneos que a menudo requieren que los vendedores hagan un depósito que los clientes pueden recuperar en caso de que los productos no se muestren como se anuncia. Como testimonio de su confianza y determinación, los vendedores de LockBit han pagado casi $ 75,000.

McAfee y Northwave no son las únicas compañías de seguridad que han notado LockBit, que sus creadores ofrecen como servicio de ransomware a los clientes, que lo usan para infectar y pagar exactamente por objetivos. La semana pasada, Sophos proporcionó su informe de ransomware.

Atención al usuario.

Sophos dijo que el nuevo malware agregó una variedad de nuevas características, incluida una técnica de escalado de privilegios que puede evitar el control de la cuenta del usuario que requiere el cierre de sesión del usuario antes de que una aplicación pueda ejecutarse con autorizaciones administrativas Esta característica es útil en caso de que el malware obtenga visibilidad en una red pero solo tiene privilegios limitados. Sophos también dijo que LockBit descarga sus datos de víctimas para que los operadores puedan publicarlos en línea si las víctimas no pagan, una táctica seguida por otro ransomware como Maze, Sodinokibi, Nemty y DoppelPaymer.

La cuenta del viernes es una historia de advertencia que destaca los peligros de las contraseñas débiles, la falta de autenticación de múltiples factores y otras medidas de defensa en profundidad. El análisis, junto con la cuenta de un vistazo de cómo LockBit navegó a través de la red de una organización en cuestión de horas, sugiere que un día el ransomware podría ganar la paridad con otros paquetes de ransomware temidos como Maze , Sodinokibi y Ryuk.

«LockBit parece haberse unido a la escena underground con una clara determinación de hacer negocios», concluyó el informe el viernes. “Los autores depositaron un depósito por encima de 10.5 BTC para asegurarlo, para generar confianza, como se muestra en uno de los foros. Nuestros datos de telemetría muestran que la actividad de LockBit todavía es limitada hoy, pero ciertamente podemos esperar ver más ataques de LockBit a medida en el futuro cercano. «

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *