Si se mantiene actualizado sobre las amenazas a la ciberseguridad, probablemente sea consciente de lo peligrosamente popular que se ha vuelto el ransomware. Este tipo de malware es una gran amenaza tanto para las personas como para las organizaciones, y algunas cepas ahora se están convirtiendo en la mejor opción para los actores malintencionados, incluido LockBit.
Entonces, ¿qué es LockBit, de dónde viene y cómo puede protegerse de él?
¿Qué es el ransomware LockBit?
Si bien LockBit comenzó como una sola cepa de ransomware, desde entonces ha evolucionado varias veces, y la última versión se conoce como "LockBit 3.0" (que discutiremos un poco más adelante). LockBit abarca una familia de programas ransomware, que funcionan con el Ransomware como servicio (RaaS) modelo.
Ransomware-as-a-Service es un modelo comercial que implica que los usuarios paguen por el acceso a un tipo determinado de ransomware para que puedan usarlo para sus propios ataques. A través de esto, los usuarios se vuelven afiliados, y su pago puede implicar una tarifa plana o un servicio basado en suscripción. En resumen, los creadores de LockBit han encontrado una forma de beneficiarse aún más de su uso mediante el empleo de este modelo RaaS, e incluso pueden recibir una parte del rescate pagado por las víctimas.
Se puede acceder a una serie de otros programas de ransomware a través del modelo RaaS, incluidos DarkSide y REvil. Junto a estos, LockBit es uno de los tipos de ransomware más populares utilizados en la actualidad.
Dado que LockBit es una familia de ransomware, su uso implica el cifrado de los archivos de un objetivo. Los ciberdelincuentes se infiltrarán en el dispositivo de la víctima de una forma u otra, quizás a través de un correo electrónico de phishing o malicioso. adjunto, y luego usará LockBit para cifrar todos los archivos en el dispositivo para que sean inaccesibles para el usuario.
Una vez que los archivos de la víctima han sido cifrados, el atacante exigirá un rescate a cambio de la clave de descifrado. Si la víctima no cumple y paga el rescate, es probable que el atacante venda los datos en la web oscura para obtener ganancias. Dependiendo de cuáles sean los datos, esto puede causar un daño irreversible a la privacidad de una persona u organización, lo que puede aumentar la presión de pagar el rescate.
Pero, ¿de dónde vino este ransomware altamente peligroso?
Los orígenes del ransomware LockBit
No se sabe exactamente cuándo se desarrolló LockBit, pero su reconocida historia se remonta a 2019, cuando se descubrió por primera vez. Este descubrimiento se produjo después de la primera ola de ataques de LockBit, cuando el ransomware se acuñó inicialmente como "ABCD" en referencia al nombre de la extensión de los archivos cifrados explotados durante los ataques. Pero cuando los atacantes comenzaron a usar la extensión de archivo ".lockbit", el nombre del ransomware cambió a lo que es hoy.
La popularidad de LockBit aumentó después del desarrollo de su segunda iteración, LockBit 2.0. A fines de 2021, LockBit 2.0 se utilizó cada vez más por afiliados para ataques y, tras el cierre de otras pandillas de ransomware, LockBit pudo aprovechar la brecha en el mercado.
De hecho, el aumento en el uso de LockBit 2.0 consolidó su posición como "el más impactante y ampliamente implementado variante de ransomware que hemos observado en todas las infracciones de ransomware durante el primer trimestre de 2022", según a informe paloalto. Además de esto, Palo Alto declaró en el mismo informe que los operadores de LockBit afirman tener el software de encriptación más rápido de todos los ransomware actualmente activos.
El ransomware LockBit se ha detectado en varios países del mundo, incluidos China, EE. UU., Francia, Ucrania, Reino Unido e India. Varias grandes organizaciones también han sido blanco de LockBit, incluida Accenture, una empresa de servicios profesionales irlandesa-estadounidense.
Accenture sufrió una violación de datos como resultado del uso de LockBit en 2021, y los atacantes exigieron un gigantesco rescate de $ 50 millones, con más de 6 TB de datos encriptados. Accenture no accedió a pagar este rescate, aunque la empresa afirmó que ningún cliente se había visto afectado por el ataque.
LockBit 3.0 y sus riesgos
A medida que aumenta la popularidad de LockBit, cada nueva iteración es una preocupación seria. La última versión de LockBit, conocida como LockBit 3.0, ya se ha convertido en un problema, concretamente dentro de los sistemas operativos Windows.
En el verano de 2022, LockBit 3.0 fue utilizado para cargar cargas dañinas de Cobalt Strike en dispositivos específicos a través de la explotación de Windows Defender. En esta ola de ataques, se abusó de un archivo de línea de comandos ejecutable conocido como MpCmdRun.exe, de modo que las balizas Cobalt Strike pueden eludir la detección de seguridad.
LockBit 3.0 también se ha utilizado en la explotación de una línea de comando de VMWare conocida como VMwareXferlogs.exe para implementar una vez más las cargas útiles de Cobalt Strike. No se sabe si estos ataques continuarán o se convertirán en algo completamente diferente.
Es evidente que el ransomware LockBit es de alto riesgo, como es el caso de muchos programas de ransomware. Entonces, ¿cómo puedes mantenerte a salvo?
Cómo protegerse del ransomware LockBit
Dado que el ransomware LockBit primero debe estar presente en su dispositivo para cifrar archivos, debe intentar cortarlo en la fuente y evitar la infección por completo. Si bien es difícil garantizar su protección contra el ransomware, hay muchas cosas que puede hacer para mantenerse lo más alejado posible.
En primer lugar, es esencial que nunca descargue ningún archivo o programa de software de sitios que no sean totalmente legítimos. La descarga de cualquier tipo de archivo no verificado en su dispositivo puede permitir que un atacante de ransomware acceda fácilmente a sus archivos. Asegúrese de estar utilizando solo sitios confiables y bien revisados para sus descargas, o tiendas de aplicaciones oficiales para la instalación de software.
Otro factor a tener en cuenta es que el ransomware LockBit es a menudo propagado a través del Protocolo de escritorio remoto (RDP). Si no usa esta tecnología, no necesita preocuparse por este puntero. Sin embargo, si lo hace, es importante que asegure su red RDP usando protección con contraseña, VPN y desactivando el protocolo cuando no esté directamente en uso. Los operadores de ransomware a menudo escanean Internet en busca de conexiones RDP vulnerables, por lo que agregar capas adicionales de protección hará que su red RDP sea menos susceptible a los ataques.
El ransomware también se puede propagar a través del phishing, un modo increíblemente popular de infección y robo de datos utilizado por actores malintencionados. El phishing se implementa más comúnmente a través de correos electrónicos, en los que el atacante adjuntará un enlace malicioso al cuerpo del correo electrónico en el que convencerá a la víctima para que haga clic. Este enlace llevará a un sitio web malicioso que puede facilitar la infección de malware.
Se puede evitar el phishing de varias maneras, incluido el uso de funciones de correo electrónico antispam, sitios web de verificación de enlacesy software antivirus. También debe verificar la dirección del remitente de cualquier correo electrónico nuevo y buscar errores tipográficos en los correos electrónicos (ya que los correos electrónicos fraudulentos a menudo están llenos de errores ortográficos y gramaticales).
LockBit sigue siendo una amenaza mundial
LockBit continúa evolucionando y se dirige a más y más víctimas: este ransomware no irá a ninguna parte en el corto plazo. Para mantenerse a salvo de LockBit y ransomware en general, considere algunos de los consejos anteriores. Si bien puede pensar que nunca se convertirá en un objetivo, siempre es aconsejable tomar las precauciones necesarias de todos modos.
