• Ciberseguridad

Lockbit Ransomware 2.0 | Su brutal modus operandi

¿Ya conocías el Lockbit Ransomware 2.0? Existen diversos tipos de software maliciosos que afectan la seguridad de los datos, y dada su potencial amenaza, te contaremos todo lo que debes saber acerca de este malware y puedas evitarlo en tus sistemas.

Pero un poco de contexto, ¿conoces su historia? Acá va un poco.

Aunque la historia exacta detrás de LockBit y sus creadores es difícil de determinar con precisión, se sabe que ha estado activo desde al menos 2019. Se cree que los desarrolladores de LockBit son de origen ruso o de habla rusa, ya que gran parte de la actividad y las comunicaciones relacionadas con el ransomware se han llevado a cabo en este idioma. Sin embargo, es importante tener en cuenta que la identidad y ubicación de los ciberdelincuentes detrás de LockBit no son definitivas y pueden estar sujetas a cambios.

¿A qué se denomina Lockbit?

LockBit es una entidad que se dedica, a través de softwares maliciosos, a cifrar datos para luego ofrecer una solución a los afectados mediante un modelo de servicio “Ransomware as a Service”.

Esta “banda de ciberdelincuentes” proporciona sus servicios a otros informativos expertos para propagar este tipo de malware. Caracterizados por una alta eficiencia en sus ataques y en la resolución de estos, también tienen altos códigos morales de qué tipo de industrias afectar cómo por ejemplo no atacar organizaciones gubernamentales, de atención médica, entre otros; sin embargo, es una decisión ética que no los exonera de ninguna responsabilidad legal.

¿Qué es el Ransomware LockBit?

El Lockbit Ransomware es utilizado por ciberdelincuentes para obtener información de valor en los sistemas informáticos de las empresas, para así atacar sus datos importantes: robando datos, propagando una infección en , extorsionando a sus víctimas o afectando a las operaciones más importantes.

En un modelo de afiliados, LockBit ofrece plataformas de Ransomware para comprometer la información de los afectados. Si la víctima accede a pagar para restablecer su seguridad, el pago de rescate se dividirá entre quienes realizan el ataque y “lock bit” como entidad.

¿A quiénes afecta LockBit?

Los ataques de LockBit se enfocan en organizaciones de diversos tamaños en diferentes industrias. Desde el software, servicios profesionales y/o comerciales, bancarios, transporte, entre otros.

¿Cómo el Ransomware LockBit 2.0 infecta a los ordenadores?

lockbit ransom note

Este tipo de software malicioso requiere una acción manual que luego le permite propagarse de forma autónoma en otros hosts e infectar los sistemas mediante scripts.  Involucra también otras herramientas para atacar puntos de seguridad y así ocultarse dentro de archivos comunes para el usuario y para el sistema.

El proceso que emplea LockBit para atacar la seguridad empresarial involucra el cambio de nombre en archivos afectados con la extensión “.abcd”; así mismo se crea un documento tipo txt llamado “Restore-My-Files.txt”´. Este archivo creado detalla las instrucciones paso a paso cómo recuperar los documentos, qué deberás hacer y con quién comunicarte para ello.

De forma general, un Ransomware cómo LockBit funciona de la siguiente manera:

  1. Entrada inicial: Los ciberdelincuentes emplean una variedad de métodos para infiltrarse en los sistemas de las víctimas, incluyendo phishing, troyanos, campañas de spam, archivos adjuntos maliciosos o explotación de vulnerabilidades en software y sistemas desactualizados.
  2. Ejecución de comandos: Una vez dentro del sistema, el Ransomware LockBit o similar ejecuta comandos de forma interna, generalmente a través de una dirección IP específica asociada al servidor de control y comando (C2). Estos comandos son parte del proceso de encriptación y otras operaciones maliciosas.
  3. Modificación de archivos ejecutables: Para ocultar su actividad y evitar la detección, el ransomware puede reescribir archivos ejecutables en el sistema de forma clandestina. Esto puede incluir archivos del sistema operativo, aplicaciones y otros programas utilizados por el usuario.
  4. Elevación de privilegios: LockBit intenta aumentar sus privilegios en el sistema para tener un control más completo. Esto puede implicar intentar obtener privilegios de administrador para acceder a archivos y recursos protegidos, o eludir el control de cuentas de usuario (UAC) del sistema operativo.
  5. Cifrado de archivos: Una vez que ha establecido su presencia y ha asegurado los privilegios necesarios, LockBit comienza a cifrar los archivos de la víctima. Utiliza algoritmos de cifrado fuertes para modificar los archivos de manera que solo puedan ser descifrados con una clave única, que solo los atacantes poseen. Los archivos cifrados generalmente reciben una nueva extensión, como «.lockbit», que indica que han sido comprometidos.
  6. Notificación de rescate: Después de que los archivos se hayan cifrado con éxito, LockBit muestra una notificación de rescate en la pantalla de la víctima, o deja archivos de rescate en el sistema. Estos archivos contienen instrucciones detalladas sobre cómo comunicarse con los atacantes y cómo pagar el rescate para obtener la clave de descifrado. Los ciberdelincuentes suelen amenazar con eliminar la clave o aumentar el rescate si no se paga dentro de un plazo determinado.

Este tipo de ataque se caracteriza por auto distribuirse y no requerir acción manual por parte de alguien, es guiado por un objetivo, utilizan una forma de propagación a través de Powershell y los SMB.

Etapas de un ataque de Ransomware

Un ataque de Ransomware ocurre en 7 etapas, tales como:

✔️ Entrega: 

  • Phishing: El empleado recibe un correo electrónico aparentemente legítimo con un enlace malicioso o un archivo adjunto infectado. También podría ser redirigido a un sitio web comprometido que contiene el Ransomware.
  • Drive-by Download: El usuario visita un sitio web infectado que aprovecha vulnerabilidades en su navegador o software para descargar silenciosamente el Ransomware en su dispositivo.

✔️ Infección: 

Una vez que se activa el Ransomware en el dispositivo del usuario, puede comenzar a cifrar archivos o bloquear el acceso al sistema.

✔️ Servidor de Control y Comando(C2):  

Después de la infección inicial, el Ransomware se comunica con el servidor C2 del atacante para recibir instrucciones adicionales y enviar información sobre la víctima.

✔️ Movimiento lateral en la red y robo de credenciales:  

El ransomware busca activamente otras máquinas en la red a las que pueda propagarse. También puede intentar robar credenciales de usuario almacenadas localmente o en la red para aumentar su alcance.

✔️ Descubrimiento: 

Durante esta etapa, el ransomware explora la red en busca de datos sensibles y sistemas críticos. Esto puede incluir la identificación de archivos importantes, bases de datos y servidores que serán objetivo de cifrado.

✔️ Encriptación: 

Una vez que el Ransomware ha identificado los objetivos, comienza el proceso de cifrado de los archivos. Utiliza una clave de cifrado única para cada víctima, lo que dificulta la recuperación de los archivos sin la clave correcta.

✔️ Rescate: 

Después de completar la encriptación, el ransomware muestra una notificación o deja archivos de rescate que indican a la víctima cómo comunicarse con los atacantes y cómo pagar el rescate para recibir la clave de descifrado. Los ciberdelincuentes suelen exigir el pago en criptomonedas para dificultar el seguimiento del dinero.

Tipos de amenazas de LockBit

LockBit es uno de los Ransomware más actual y se ha estado potencializando en tiempos donde las personas trabajan en casa y las medidas de seguridad pueden ser bajas en algunas ocasiones. Existen diversos tipos de amenazas que deja este software malicioso.

▪️ Archivos afectados con la extensión .abcd y .LockBit

Esta es la versión original y reemplaza los archivos afectados con la extensión “.abcd”. Es esta la más común y también deja un archivo .txt con las instrucciones de cómo se puede recuperar la información. La versión .Lockbit es la más actual y es similar a la anteriormente mencionada.

▪️ Archivos afectados por LockBit2.0

En esta versión, las instrucciones de recuperación de información llevan a los afectados a un sitio web, descartando la necesidad de descargar un navegador.

▪️ LockBit y sus mejoras continuas

LockBit 2.0 es una nueva versión del Ransomware con un cifrado más rápido que el anterior que involucra nuevos métodos de almacenamiento de datos robados, herramientas para el análisis de infraestructura de red, otras formas de advertencia de recuperación de datos, entre otros.

¿Cómo eliminar el descifrado de LockBit si ha sido afectado un dispositivo?

Si has detectado este malware en tus dispositivos, no es posible que con eliminarlo puedas tener tu información devuelta. Pero sí deberás tomar medidas para recuperarla y evitar que continúe afectando.

Qué pasos deben seguirse en caso de una infección de Ransomware

En caso de una infección con este malware, deberás seguir los siguientes pasos para evitar afectar más dispositivos y responder ante el caso:

  1. Toma medidas para contener el ataque.
  2. Aísla tu dispositivos y de ser posible, mueve tus datos a ubicaciones seguras.
  3. De forma rápida, haz un balance de la situación y determina qué tanto se han visto afectados tus sistemas, identifica de dónde pudo provenir el ataque, recolecta evidencia y de ser posible, restaura tus copias de seguridad.
  4. Asegúrate de medir el impacto, con eso identificarás si otros dispositivos se han visto afectados y actúa de la misma manera.
  5. Prepara un plan de comunicación para difundir la información y los siguientes pasos para actuar ante el ataque.
  6. Comunícate con un equipo de expertos que puedan guiarte y recuperar tus datos de forma segura.

▪️ Aísla el dispositivo afectado:

Aísla el dispositivo para evitar las propagaciones del malware. Para ello puedes desactivar Wifi, el Ethernet y desconectar las redes inalámbricas. También deberás desconectar los dispositivos extraíbles como USB, cds, entre otros. Si tienes iniciadas sesiones de sincronización en la nube, desactívalas y desinstálalas.

▪️ Identifica el tipo de Ransomware

Identifica el tipo de software malicioso que ingresó a tu computador en el archivo de texto que se suele encontrar en estos casos, puedes encontrarlos con nombres como “decrypt_files, decryption instructions, _readme o read-me” finalizados con una extensión .txt.

Si en estos archivos no está claro el tipo de ransomware, consulta la extensión del archivo. Lockbit los reemplaza por “.abcd” o “.lockbit”. En ocasiones, este método no funciona puesto que muchas veces se usa una extensión genérica como “.encrypted” “.locked” “.cypted”, entre otros. De ser así, puedes comprobar su ID en la web para identificarlo.

Si aún así no estás seguro de qué tipo sea, asegúrate de no instalar ningún programa que “sirva” para estos casos, pues sin tener clara esta información podrías afectar los archivos y evitar su recuperación más adelante.

▪️ Encuentra una herramienta y/o expertos que te ayuden a solucionarlo

Si bien existen muchas herramientas para descifrar el Ransomware LockBit, muchas veces es mejor dejarlo a manos de Ingenieros y técnicos expertos que te garanticen la recuperación de la información sin perder la estructura, nombres y orden en que estaba antes del incidente.

Los archivos encriptados requieren un manejo especial, pues el cifrado está “bloqueado” con claves específicas que se crean en el proceso y que los ciberdelincuentes almacenan en servidores externos. Encontrar una herramienta adecuada que garantice la recuperación de la información, es demorado y en ocasiones poco probable.

Es así como te recomendamos que encuentres un aliado experto que te ayude a solucionar, de forma efectiva, la devolución de la información. Si has sido víctima de un ataque Ransomware, nosotros podemos ayudarte a eliminar el Ransomware y recuperar archivos encriptados.

Cómo protegerte del Ransomware LockBit

Proteger tu información es vital para la seguridad y el funcionamiento correcto de tu empresa. Es importante que sigas los siguientes consejos para impedir ataques que afectan la seguridad de tus sistemas.

✔️ Cultura anti ciberataques

Crea una cultura interna en tu compañía que evite y se cuide de los ciberataques. Procura que tus empleados no abran correos electrónicos sospechosos o que sean potenciales o susceptibles de ser malintencionados. Recuerda que los archivos adjuntos o enlaces pueden desencadenar archivos que instalen este tipo de malware malicioso.

Encarga a tus equipos de sistemas el cuidado de ellos; procura que no se instalen sin el consentimiento de ellos programas o herramientas de activación ilegal, los cuales tienen mayor riesgo de afectar los dispositivos.

✔️ Cuenta con programas dedicados al cibercuidado

Emplea herramientas y un equipo que detecte comportamientos y técnicas usadas para detectar estas situaciones. Comunica estrategias de ingeniería social para visibilizar los tipos de situaciones que se pueden presentar para así concientizar a tus equipos.

✔️ Parches de seguridad

Crea una estrategia sólida de parches para actualizar la seguridad en el tiempo adecuado servidores, dispositivos, entre otros; para reducir la posibilidad de oportunidad de ataques.

✔️ Pruebas de penetración

Ejecuta pruebas de penetración para revelar posibles vulnerabilidades en la infraestructura de TI y la susceptibilidad de los empleados ante los Ransomware. Con este tipo de resultados de la prueba puedes definir recursos de TI e informar futuras decisiones de ciberseguridad.

Consejos adicionales para evitar estos ataques

  • Implementa la autenticación en dos pasos cuando tengas puntos de acceso remoto en una red empresarial. Presta atención y enfócate en proteger o deshabilitar el acceso al protocolo de escritorio remoto (RDP).
  • Crea copias de seguridad cifradas, fuera de línea y actualizadas de forma periódica. Procura que estén fuera de línea, pues LockBit y los diversos tipos de Ransomware se especializan en encontrar las copias de seguridad visibles.
  • Establece un equipo de profesionales que pueda atender estos ataques, tanto interno o externo, con altos niveles de profesionalidad, de confianza y calificados que permitan responder de forma rápida a estos incidentes y explorar e identificar las vulnerabilidades de los sistemas.
  • Define planes de respuesta a este tipo de incidentes, tales como políticas de comunicación y procedimientos de respuesta para estos ataques. Así mismo, deberás contar con estrategias para evitar el robo de datos cuando se trata de grandes cantidades de información core para tu empresa, como controlar el tipo de información que se maneja en el almacenamiento en la nube.
  • Ejecuta pruebas para identificar los puntos débiles de tu red y evalúa los siguientes pasos de mejora que puedas poner en marcha para actuar rápidamente. Audita, controla, y actúa.

Sin importar el tamaño de tu empresa, nunca se está exento de sufrir un ataque de Lockbit y otros tipos de Ransomware. Tomar las medidas adecuadas de prevención y difusión es importante para conocer cómo actuar y qué pasos a seguir debes realizar. Recuerda que es vital el acompañamiento y asesoramiento con expertos para que te guíen y fortalezcan tus sistemas.En la actualidad, somos un equipo comprometido con tu información y te garantizamos resultados efectivos debido a nuestras investigaciones y desarrollo constante en esta industria de la ciberseguridad con el fin de ofrecerte la mejor solución siempre, pensando en tu satisfacción. 

Si necesitas asistencia inmediata, ingresa al siguiente link estamos a tu servicio 24/7.

Otros artículos