NAKIVO > Blog > Multiplatform

LockBit Ransomware: lo que necesita saber para protegerse contra él

Actualizado: mayo 6, 2024

Written by: NAKIVO Team

LockBit sigue siendo una de las principales amenazas para las organizaciones en el muy diverso panorama del ransomware. En el primer semestre de 2023, se produjeron más ataques con LockBit que con cualquier otra familia de ransomware, con BlackCat y Clop en segundo y tercer lugar.

LockBit siguió abriendo brechas con éxito en las principales empresas y organismos gubernamentales del mundo a lo largo de 2023. En octubre, por ejemplo, el grupo LockBit asumió la responsabilidad de una filtración de datos personales del Gobierno canadiense, afirmando que se habían robado 1,5 terabytes de documentos de archivo, incluidos datos personales de funcionarios del Estado. Otras víctimas destacadas han sido Boeing, la filial estadounidense de ICBC (el mayor banco de China) y el Ministerio de Defensa del Reino Unido.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

¿Qué es el ransomware LockBit?

LockBit es un tipo de ransomware de doble extorsión desarrollado por el grupo criminal del mismo nombre, cuyos primeros ataques se remontan a 2019. El grupo LockBit desarrolla y comercializa el ransomware a afiliados basándose en un modelo de ransomware como servicio (RaaS) a cambio de una parte de los beneficios de los pagos de rescates recibidos. Los afiliados reclutados utilizan este ransomware para realizar ataques. Se ha considerado un ransomware de doble extorsión porque LockBit también exfiltra datos, y los ciberatacantes amenazan después con publicar estos datos en sitios de filtración.

La evolución del ransomware LockBit

El ransomware LockBit ha sufrido varias iteraciones desde que se identificó por primera vez como ransomware ABCD, volviéndose más sofisticado a medida que ha ido evolucionando. LockBit se perfecciona constantemente para infiltrarse en redes protegidas y pasar desapercibido. Los atacantes investigan activamente los sistemas de seguridad para encontrar vulnerabilidades y utilizan la ingeniería social y otras técnicas para garantizar el éxito de sus ataques.

Veamos las iteraciones hasta la fecha:

ABCD

ABCD fue la versión inicial del ransomware del grupo LockBit, detectada por primera vez en septiembre de 2019. El nombre refleja la extensión .abcd que se añade a los archivos tras el cifrado. Esta versión del ransomware también generaba un archivo de bloc de notas titulado Restore-My-Files.txt en cada carpeta que contenía datos cifrados. El archivo describe el pago del rescate y los procedimientos de restauración de los datos.

LockBit

LockBit 1.0 o simplemente LockBit es la segunda versión de este ransomware, que añade la extensión .LockBit a los archivos cifrados en lugar de .abcd. Esta iteración no difiere mucho de la ABCD en cuanto a diseño y ejecución. Sólo se han realizado unos pocos cambios en el código backend.

LockBit 2.0

LockBit 2.0, visto por primera vez en acción en junio de 2021, fue revisado y actualizado para convertirse en una amenaza más grave. Esta versión aprovecha el estándar de cifrado avanzado (AES) y los algoritmos de criptografía de curva elíptica (ECC) para cifrar datos. Los atacantes utilizan herramientas de uso común entre los equipos informáticos de la mayoría de las organizaciones para ejecutar código malicioso y propagarlo por los sistemas. Con la versión 2.0, los hackers utilizaron comandos de Windows Management Instrumentation (WMI), conexiones de protocolo SMB y herramientas PowerShell.

LockBit 2.0 funciona sin conexión y, tras la infección, el cifrado continúa independientemente de si la máquina está conectada a una red o no. Además, LockBit 2.0 cuenta con un panel de control de administración disponible a través de un navegador TOR, lo que permite a los ciberdelincuentes realizar un seguimiento de sus ataques.

LockBit 3.0 alias LockBit Black

LockBit Black o LockBit 3.0 fue la siguiente versión en junio de 2022. Esta versión es aún más evasiva y modular que sus predecesoras, añadiendo opciones personalizables que se utilizarán durante la compilación y ejecución de la carga útil. El comportamiento de LockBit Black se puede modificar aún más después de la ejecución con argumentos adicionales. Además, esta versión integra funciones de otros ransomware como Blackcat y Blackmatter.

Los afiliados a LockBit 3.0 tienen que proporcionar la contraseña correcta para ejecutar el ransomware, es decir, descifrar el ejecutable con una clave criptográfica. Ese nivel de protección permite a LockBit 3.0 engañar a los escáneres de malware, impidiéndoles analizar el código.

Es difícil detectar los componentes ejecutables de LockBit 3.0 mediante soluciones antivirus y antimalware que utilicen un principio de detección basado en firmas, ya que el componente cifrado del ejecutable varía. Este componente utiliza una clave criptográfica para el cifrado a la vez que genera un hash único. Después de que el atacante introduzca la contraseña correcta (lo que significa que la clave de descifrado es correcta), el detalle principal de LockBit 3.0 queda descifrado. A continuación, el código es descifrado y descomprimido, lo que permite la posterior ejecución del ransomware.

LockBit Verde

LockBit Green, publicado en enero de 2023, es la quinta versión de LockBit modificada específicamente para servicios basados en la nube. Esta generación tiene un nuevo aspecto y un nuevo conjunto de funciones y características con respecto a las versiones anteriores. Sin embargo, LockBit Green tiene partes de código que solían pertenecer a otro ransomware de taquilla, Conti, que ya no está activo.

Extensiones de archivo del ransomware LockBit

Después de la invasión exitosa y cifrado de datos, LockBit cambia la extensión de los archivos originales a uno de los siguientes:

  • .abcd (ransomware ABCD de generación pasada)
  • .lockbit (LockBit y LockBit 2.0)
  • Una cadena aleatoria de 9 caracteres (LockBit 3.0 y LockBit Green)

Etapas principales de un ataque de ransomware LockBit

Un ataque de ransomware LockBit suele desarrollarse en 3 fases:

  1. Brecha. Los atacantes burlan el perímetro de seguridad de una organización enviando correos electrónicos de suplantación de identidad, fingiendo la identidad de ejecutivos para recibir credenciales de administrador, utilizando ataques de fuerza bruta en nodos y redes internas, y otros métodos. También se utilizan activamente exploits para el Protocolo de Escritorio Remoto y aplicaciones de cara al público.

    Una vez que los atacantes introducen LockBit en la red de la organización, completan la fase de preparación para aumentar el alcance y los daños futuros del ataque de ransomware. Las organizaciones con redes simples no segmentadas tienen mucho menos tiempo para reaccionar ante una brecha.

  2. Infiltración. El código LockBit comienza a participar en el ataque. El script completa todas las actividades de aquí en adelante y utiliza técnicas de escalada de privilegios para obtener el acceso requerido. A continuación, el ransomware desactiva los cortafuegos de seguridad internos y las soluciones de detección y notificación de malware para obtener más posibilidades de realizar acciones de destrucción y permanecer bajo el radar del equipo de seguridad.

    En este caso, el objetivo principal del ransomware es alcanzar la mayor cantidad de datos posible, aumentando así los daños e impidiendo la recuperación independiente de los mismos.

    Durante esta etapa, el ransomware Lockbit puede realizar las siguientes acciones para conseguir el nivel de acceso requerido:

    • Finalización de servicios y procesos
    • Ejecución de comandos
    • Eliminación de archivos de registro

    LockBit 3.0 puede eludir el UAC de Windows ejecutando un código malicioso con privilegios elevados utilizando, por ejemplo, el Component Object Model:

    %SYSTEM32%\dllhost.exe/Processid:{A14CF3B9-5C92-2583-2846-D359234FBB37}

    Lockbit elimina las instantáneas utilizando Windows Management Instrumentation (WMI). En primer lugar, el ransomware consulta e identifica las instantáneas:

    select * from Win32_ShadowCopy

    A continuación, el ransomware elimina las instantáneas con DeleteInstance.

    Los servicios con estos nombres son eliminados por el ransomware LockBit: vss, sql, svc$, memtas, mepocs, mepocs, sophos, backup, GxVss, GxBlr, GxFWD, GxCVD y GxCIMgr.

    Se eliminan los siguientes procesos: sql, oracle, ocssd, dbsnmp, synctime, agntsvc, isqlplussvc, xfssvccon, mydesktopservice, ocautoupds, encsvc, firefox, tbirdconfig, mydesktopqos, ocomm, ocomm, sqbcoreservice, excel, infopath, msaccess, mspu, onenote, outlook, powerpnt, steam, thebat, thunderbird, visio, winword, wordpad y notepad.

    Después de matar procesos, los archivos abiertos previamente y utilizados por estos procesos pueden ser modificados o borrados.

  3. Instalación. Esta etapa se inicia cuando los atacantes consideran que la infraestructura de una organización está lo suficientemente debilitada como para empezar a ejecutar el cifrado. A continuación, el nodo del sistema comprometido con los permisos necesarios ordena a otras cargas de trabajo de la red que descarguen y ejecuten el código malicioso.

    Los atacantes de LockBit pueden utilizar StealBit para exfiltrar los datos interesantes antes de que estos datos sean cifrados. La posibilidad de una fuga de datos es otro componente de los ataques de ransomware LockBit.

    A continuación, se cifran los datos de los nodos alcanzados y LockBit añade a cada carpeta un archivo .txt con instrucciones de pago. El formato de nombre típico de los archivos .txt es RansomwareID.README.txt.

Una de las funciones más inquietantes de LockBit es la autodifusión, que simplifica el job a los atacantes y acelera los ataques en general. Después de obtener acceso de administrador al entorno de una organización, un hacker sólo tiene que lanzar el ransomware, el código hace el resto para entregar ejecutables LockBit a otros hosts alcanzables.

El descifrado de los archivos cifrados sólo es posible tras cumplir las exigencias de los hackers y recibir la herramienta patentada de los desarrolladores de LockBit. Como ya se ha mencionado, otra razón para cumplir la normativa sería impedir que se compartan públicamente datos sensibles o personales.

Los signos de una infección LockBit

El ransomware Lockbit modifica los valores del registro, incluidos los responsables de editar y actualizar la directiva de grupo. El comando para actualizar las políticas de grupo después de los cambios por LockBit es:

powershell Get-ADComputer -filter * -Searchbase '%s' | Foreach-Object { Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 0}

Algunos de los signos en el punto de registro sobre la infección Lockbit puede incluir:

  • Icono de ransomware:

    HKCR\. <Malware Extension>

    HKCR\<Malware Extension>\DefaultIcon

    con el valor vinculado a C:\ProgramData\<Malware Extension>.ico

  • Fondo de escritorio de ransomware:

    HKCU\ControlPanel\Desktop\WallPaper

    con el valor de C:\ProgramData\<Malware Extension>.bmp

  • Activación del inicio de sesión automático de Windows:

    SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon con los valores adecuados

    AutoAdminLogon 1

    DefaultUserName

    DefaultDomainName

Tenga en cuenta las rutas en las que el ransomware despliega sus archivos:

  • ADMIN$\Temp\LockBit3.0_Filename.exe
  • %SystemRoot%\Temp\LockBit3.0_Filename.exe
  • \Domain_Name\sysvol\Domain_Name\scripts\Lockbit3.0_Filename.exe (en un controlador de dominio)

Cómo proteger los datos contra la amenaza LockBit

Proteger sus sistemas contra el ransomware y el malware en general implica dos aspectos:

  1. Medidas de seguridad, es decir, intentar prevenir la infección en primer lugar.
  2. Estrategias de protección de datos: recuperación tras un incidente con un mínimo de pérdida de datos y tiempo de inactividad, sin pagar el rescate.

Veamos cada uno de ellos con más detalle.

Medidas de seguridad

  • Actualice regularmente el sistema operativo, el software y el firmware , ya que los componentes obsoletos pueden tener vulnerabilidades que los hackers pueden aprovechar para inyectar ransomware en su infraestructura. Los desarrolladores tienden a parchear rápidamente las puertas traseras y los puntos débiles de seguridad revelados para mantener protegidos a los clientes.
  • Aplique la segmentación de red para configurar la red de su organización en compartimentos separados. Un intruso que explora por primera vez la red segmentada no sabe qué datos hay en cada segmento. Por lo tanto, un hacker puede necesitar mucho más tiempo y esfuerzo para el reconocimiento y la intrusión efectiva. Aunque este no parece ser el caso específico de LockBit, algunos ciberdelincuentes que utilizan otras versiones de ransomware pueden optar por no atacar a una organización con una red segmentada segura.
  • Desactive los puertos no utilizados de su red. Un puerto abierto no es más que una vulnerabilidad adicional que un mal actor puede utilizar para obtener acceso no autorizado a los nodos internos y llevar a cabo un ataque.
  • Supervise las redes en busca de anomalías de comportamiento mediante soluciones de supervisión activa de redes y nodos. Esto puede aumentar significativamente su conocimiento de la situación en un momento dado. Además de permitir realizar pruebas exhaustivas y eliminar los cuellos de botella en el ancho de banda de la red cada vez que aparecen, la supervisión activa ayuda a detectar vulnerabilidades con rapidez. Los tiempos de respuesta rápidos pueden ayudarle a mitigar los resultados del ataque o incluso evitar que el malware se propague.
  • Utilice antivirus con detección de amenazas en tiempo real. A pesar de los puntos en común con las soluciones de supervisión, las soluciones antivirus pueden ofrecerle funciones de supervisión de dispositivos, incluidos servidores y estaciones de trabajo, además de supervisión de redes.

    Es cierto que LockBit es astuto y capaz de engañar a los escáneres de malware, pero los hackers pueden utilizar otras herramientas menos sigilosas para configurar y apoyar sus ataques. Un antivirus activo en tiempo real le avisará cuando algo vaya mal en el entorno de una organización.

  • Integre soluciones antiphishing para contrarrestar las técnicas de ingeniería social utilizadas por los afiliados de LockBit para comprometer la seguridad de una organización. Desactivar los hipervínculos del correo electrónico y añadir banners de advertencia para los correos electrónicos procedentes de fuera de una organización puede ayudarle a reducir el riesgo de que un miembro desatento del equipo pulse un enlace de suplantación de identidad.

Estrategias de protección de datos

Dado que LockBit puede introducirse sin ser detectado y engañar a las herramientas de supervisión de amenazas, es necesario contar con una segunda línea de defensa para garantizar la recuperación después de que se produzca realmente un incidente de ransomware. Su plan de respuesta a incidentes debe incluir una estrategia de backups de datos y recuperación ante desastres.

Cree un plan de protección de datos.

  • Identifique las máquinas virtuales y aplicaciones críticas. Para evitar la pérdida de datos, mantener el tiempo de actividad y garantizar el cumplimiento incluso después de un ataque de ransomware, debe utilizar el backup y la replicación para proteger sus máquinas. El primer paso en una estrategia de protección de datos es hacer un inventario de los datos críticos y las máquinas necesarias para la continuidad de la empresa. El siguiente paso es determinar el grado de criticidad de cada máquina para ayudarle a determinar la frecuencia de los backups, las políticas de retención y los objetivos de recuperación.
  • Definir los RPO y RTO de la empresa. Con una comprensión clara de dónde residen sus datos críticos, puede establecer el objetivo de punto de recuperación (RPO) y el objetivo de tiempo de recuperación (RTO) adecuados para cada tipo de máquina de producción. RPO y RTO se refieren a la cantidad máxima de pérdida de datos y tiempo de inactividad que su empresa puede tolerar.
  • Establezca un calendario de pruebas de protección de datos. Realice pruebas periódicas de la estrategia de backups y DR y asegúrese de que cada miembro del equipo comprende su papel en el proceso de recuperación. El peor momento para descubrir que tus datos son irrecuperables es cuando los datos originales ya se han perdido o están cifrados.

Sigue la regla 3-2-1-1 para hacer backups.

  • Conserva tantas copias de datos como puedas. Decida el número de backups que va a crear y la política de retención en función de lo crítica que sea una máquina o aplicación. Para tener más posibilidades de recuperación, aplica la estrategia de copia de seguridad 3-2-1: crea al menos tres (3) copias de tus datos en todo momento: los datos primarios y dos copias de backup. En segundo lugar, almacene los datos en dos (2) tipos de soporte diferentes. En tercer lugar, conserve una (1) copia externa para garantizar la recuperación en caso de que se produzca una catástrofe en su centro de producción.
  • Proteja los backups contra el ransomware. Los atacantes son una amenaza tanto para los datos de backups como para las máquinas de producción. Por eso, hoy en día, la regla del backup se ha ampliado para incluir una copia inmutable adicional. La inmutabilidad utiliza el modelo write-once-read-many para proteger los datos contra la corrupción, el cifrado y el borrado. Esto significa que los nuevos ataques de ransomware no pueden manipular estos datos, y se puede utilizar una copia inmutable para la recuperación si los datos de producción son inaccesibles.

Utilización de la solución de protección de datos de NAKIVO

Una solución dedicada a la protección de datos le permite automatizar los procesos de protección de datos para no sobrecargar sus recursos y evitar lagunas de retención. NAKIVO Backup & Replication es una solución integral de protección de datos compatible con cargas de trabajo virtuales, físicas, en la nube, SaaS e infraestructuras híbridas. Al implantar la solución de NAKIVO, dispondrá de un control y una visibilidad completos de su infraestructura de protección de datos a través de la interfaz web, independientemente de las plataformas utilizadas: VMware vSphere, Microsoft Hyper-V, Windows, Linux, Microsoft 365, etc.

La solución también ofrece todas las funciones necesarias para aplicar la regla 3-2-1-1, incluida la inmutabilidad y el almacenamiento por niveles de los datos de backup:

  • Backups inmutables backups enviados a la nube (Amazon S3, Wasabi, Backblaze B2, y otras plataformas compatibles con S3), almacenamiento local basado en Linux (incluyendo dispositivos NAS).
  • Automatización de copias de backup con encadenamiento de jobs para permitirle diversificar el almacenamiento con backups externos y en cinta mediante la creación de flujos de trabajo automatizados.
  • Funciones de seguridad para impedir el acceso no autorizado, incluida la autenticación de dos factores (2FA) y los controles de accesos basados en roles (RBAC) para ayudarle a aplicar el principio del mínimo privilegio (PoLP), limitando los permisos de acceso de los miembros del equipo en función de sus responsabilidades en su organización.
  • Las funciones de recuperación ante desastres integradas, como la replicación en tiempo real y la restauración del entorno, pueden ayudarle a cumplir los RPO de 1 segundo y los RTO más ajustados.
  • Las opciones de recuperación completa y granular le ofrecen la flexibilidad necesaria para recuperar exactamente lo que necesita en el menor tiempo posible.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Artículos recomendados

Picture
¿Qué es VMware vSwitch?
Picture
Cómo trabajar con archivos VHD y VHDX de Hyper-V: Conceptos Básicos Esenciales
Picture
Cómo cifrar correos electrónicos en Outlook y Office 365