LockBit, el nuevo ransomware al acecho

Una de las amenazas más importantes que enfrentan las organizaciones en la actualidad es el ransomware. En 2019 hubo un aumento de más de cuatro veces en las detecciones por este tipo de ataques. LockBit es una nueva cepa de ransomware, que logró robar de una empresa que no contaba con fuertes medidas de seguridad […]

Una de las amenazas más importantes que enfrentan las organizaciones en la actualidad es el ransomware. En 2019 hubo un aumento de más de cuatro veces en las detecciones por este tipo de ataques.

LockBit es una nueva cepa de ransomware, que logró robar de una empresa que no contaba con fuertes medidas de seguridad una gran cantidad de información en sólo un par de horas, ante esto los directivos de la compañía no tuvieron otra opción que pagar por el rescate de sus datos.

En el ataque, LockBit se pudo extender a más de 200 sistemas en muy poco tiempo, pues tiene una capacidad única de autopropagación mediante el uso del protocolo SMB, a diferencia de otras cepas de ransomware que requieren la ayuda de exploits adicionales para propagarse. Cabe destacar que normalmente un atacante está dentro de la red durante días o incluso semanas.

Método de ataque

LockBit usó un método dual para mapear e infectar la red. Las tablas ARP, que mapean las direcciones IP locales a las direcciones MAC del dispositivo, ayudaron a ubicar sistemas accesibles y se bloquearon los mensajes del servidor. El protocolo utilizado compartió los archivos y carpetas entre los equipos vinculados a la red, permitiendo que los nodos infectados se conectaran a los no infectados

 Luego, se ejecutó un script de PowerShell para propagar el ransomware de los nodos infectados a los no infectados.  

Una vez que se bloquearon los datos, el escritorio de los equipos mostraba el siguiente mensaje:

La nota de ransomware se veía así.

Atención en la organización y al cuidado del usuario

La organización que fue golpeada por LockBit no contaba con fuertes medidas de seguridad, una falla bastante común y que trae consigo un alto costo. Con toda su red atada, los directivos tuvieron dos opciones, pagar por el rescate o perder sus datos para siempre. Lamentablemente, optaron por la primera opción.

LockBit se vende en foros clandestinos, donde quienes lo compran realizan un depósito anticipado, el cual puede ser reembolsado en caso de que el ataque no se haga efectivo. Hasta el momento se han desembolsado casi $ 75,000 dólares en la compra de este nuevo y efectivo ransomware.

Es fundamental encontrar vulnerabilidades y solucionarlas antes que un ciberdelincuente las explote. Si quieres saber cómo, haz click acá.

Otro de los puntos fuertes de LockBit es su método de escalada de privilegios que puede omitir el Control de Cuentas de Usuario en los Sistemas Windows, con esto se puede descargar los datos de las víctimas, y en el caso de que estas no estén dispuestas a pagar por el rescate de su información, los ciberdelincuentes los hacen públicos. Esta es una táctica utilizada comúnmente por otros ransomware como Maze, Sodinokibi, Nemty y DoppelPaymer.