LockBit es un proveedor de ransomware como servicio (RaaS). Este grupo nació en 2019 y ha supuesto grandes retos para los expertos en seguridad desde entonces. Un informe reciente establece que LockBit es responsable de más de un tercio de todos los ataques de ransomware en la última mitad de 2022 y el primer trimestre de 2023. Con los atacantes del ransomware LockBit trabajando a toda hora para actualizar e intensificar sus acometidas, ha evolucionado para ser una de las variantes de ransomware más infames.
Línea de tiempo de la evolución de LockBit
|
Año de lanzamiento |
Nombre de la variante |
Descripción |
|
Septiembre de 2019 |
ABCD ransomware |
∙ LockBit se estableció a sí mismo como un proveedor de RaaS con ABCD ransomware. ∙ Es una subclase del criptovirus, ya que demanda un rescate en forma de criptomonedas. ∙ Los archivos encriptados tenían la extensión .abcd. |
|
Enero de 2020 |
LockBit |
∙ Esta variante ayudó a LockBit a proclamar su identidad. ∙ Los archivos encriptados tenían la extensión .lockbit. ∙ Era infame por su capacidad de autopropagación. |
|
Junio de 2021 |
LockBit Red |
∙ Esta variante se actualizó con Stealbit. ∙ Stealbit, una herramienta integrada para el robo de datos, se usó para ataques de doble extorsión. ∙ Algunos afiliados aprovecharon su capacidad de ejecutar una triple extorsión al lanzar un ataque de DDoS. |
|
Octubre de 2021 |
LockBit Linux-ESXi Locker versión 1.0 |
∙ Esta versión estaba enfocada en hosts de Linux en los servidores ESXi, que alojaban varias VM. ∙ Se trataba de una versión compleja que involucraba el Estándar de Encriptación Avanzada y la Criptografía de Curva Elíptica para la encriptación de datos. |
|
Marzo de 2022 |
LockBit Black |
∙ Esta cepa explotó Windows Defender para establecer una cadena de infecciones de malware. ∙ Se usó Cobalt Strike para lanzar el ataque en varios dispositivos. ∙ Permitió la carga lateral de otros atacantes para exfiltrar datos de dispositivos infectados. |
|
Enero de 2023 |
LockBit Green |
∙ Esta variante se creó usando el código fuente del ransomware Conti. ∙ Se diseñó en última instancia para enfocarse en servicios en la nube. |
|
Abril de 2023 |
LockBit en macOS |
∙ Los informes filtraron el surgimiento de la variante exclusiva de LockBit para macOS. ∙ También se informó que la variante involucró artefactos avanzados capaces de encriptar archivos en dispositivos que ejecutan Apple macOS. |
El futuro
Los ataques de ransomware nunca acaban, ya que los proveedores de RaaS actualizan constantemente sus cepas para superar los avances tecnológicos.
Como experto en seguridad, es imperativo que anticipe y evite dichos ataques.
Una de las soluciones es integrar el marco MITRE ATT&CK con el marco de seguridad de la red de su organización para mapear ataques como LockBit.
MITRE ATT&CK es una base de conocimiento que lo ayuda a prever un ataque desde el punto de vista del atacante. Al entender la perspectiva de un atacante, usted puede predecir y evitar posibles ataques y sus consecuencias. Puede encontrar más información sobre MITRE ATT&CK en nuestro ebook.
Mapee el escenario de ataque de LockBit con MITRE ATT&CK
∙ El ransomware LockBit obtiene acceso inicial a la red mediante correos electrónicos de phishing, ataques de fuerza bruta sobre cuentas RDP o al explotar aplicaciones vulnerables.
∙ Luego se infiltra más adentro en la red de la víctima y prepara el entorno para realizar el ataque utilizando herramientas postexplotación que usan Windows PowerShell o el protocolo SMB para su ejecución.
∙ Emplea la carga de ransomware e infecta al primer host. Este único host infectado disemina automáticamente la infección a varios dispositivos al compartir un script infectado a todos los dispositivos comprometidos usando el protocolo SMB.
∙ Todos los archivos en los dispositivos infectados se encriptan y aparece una nota de rescate en los dispositivos comprometidos de la víctima.
∙ Los archivos se pueden desencriptar solo con la ayuda de la herramienta de desencriptación propiedad de LockBit.
Al estudiar la línea de acción del ransomware LockBit, una asesoría conjunta de CISA concluyó que las siguientes tácticas y técnicas son las más predominantes en un ataque de LockBit. Las tácticas y técnicas se muestran en la Tabla 1.
|
Táctica |
Técnicas |
|
Acceso inicial |
∙ Servicios remotos externos [T1133] ∙ Compromiso oculto [T1189] ∙ Phishing [T1566] |
|
Ejecución |
∙ Intérprete de comando y script [T1059] |
|
Robo |
∙ Robo automatizado [T1020] ∙ Robo en servicios web: exfiltración al almacenamiento en la nube [T1567.002] |
|
Impacto |
∙ Datos encriptados para el impacto [T1486] ∙ Desfiguración interna [T1491.001] ∙ Detención de servicios [T1489] ∙ Inhibición de recuperación del sistema [T1490] |
Tabla 1: tácticas y técnicas usadas en un ataque de LockBit
Ahora, ¿cómo puede implementar el marco MITRE ATT&CK en su organización?
La respuesta está en una solución de SIEM como ManageEngine Log360 que proporcione reglas de detección, alertas e informes predefinidos que pertenezcan al marco MITRE ATT&CK.
∙ Informes de MITRE ATT&CK predefinidos. Una solución de SIEM efectiva como Log360 consta de informes exclusivos para cada táctica del marco ATT&CK. Además, los informes se categorizan con base en las distintas técnicas y subtécnicas bajo cada táctica. En la Figura 1 se muestra una vista previa de la página de informes de MITRE ATT&CK.
Figura 1: informes de MITRE ATT&CK en Log360
∙ Perfiles de alerta predefinidos de MITRE ATT&CK. Log360 tiene perfiles de alerta integrados para cada táctica del marco MITRE ATT&CK. Estas alertas se clasifican además con base en las técnicas usadas en cada táctica. En la Figura 2 se representan los perfiles de alerta predefinidos para MIRE ATT&CK.
Figura 2. Perfiles de alerta predefinidos para MITRE ATT&CK en Log360
∙ Reglas de correlación predefinidas. Esta función le permite controlar todos los incidentes relevantes para tácticas, técnicas y procedimientos de MITRE ATT&CK al correlacionar una secuencia de eventos e incidentes maliciosos. En la Figura 3 se muestra una regla de correlación.
Figura 3. Regla de correlación para MITRE ATT&CK en Log360
Es imperativo que permanezca proactivo en su defensa contra ataques cibernéticos con superficies de ataque extendidas y técnicas sofisticadas de ataque. ¿Entonces por qué esperar? Regístrese para una demostración personalizada de Log360 y obtener más información.
