Malware, Noticias, Ransomware

LockBit presenta un nuevo método para eludir la protección MOTW

marzo 8, 2023
El grupo de ransomware Lockbit logró evadir los mecanismos de protección de Microsoft Mark of The Web (previene el uso de archivos maliciosos).

Los operadores de LockBit continúan teniendo éxito a medida que extraen datos de organizaciones de alto perfil y comparten información en sus sitios de fuga. Una de las razones importantes de esto se atribuye a las tácticas y técnicas adoptadas, siendo analizado recientemente por investigadores.

Últimamente, Lockbit se utilizó para eludir el mecanismo de protección Mark of The Web (MOTW) en una campaña reciente.

Cómo funciona la nueva técnica

Los investigadores de Fortinet observaron que los operadores de LockBit utilizaron una combinación de técnicas de evasión durante una campaña entre diciembre y enero.

La campaña de ataque montó un archivo .img que contenía archivos maliciosos, y solo uno de ellos era visible para los usuarios. La entrega a través de un contenedor de archivos de este formato ayuda a los atacantes a evadir el mecanismo de protección MOTW. Una vez que el usuario abrió el único archivo visible, provocó la descarga de scripts BAT que verificaron el nivel de privilegio en el sistema de destino.

En algunos casos, también se ejecuta un script de Python utilizando el paquete de inserción oficial. El único propósito de estos scripts es cambiar la configuración y las contraseñas del sistema sin el conocimiento del usuario. El ransomware LockBit reside en un archivo protegido por contraseña que también se ejecuta a través del script BAT como carga útil final.

Evolución de la estrategia de evasión

En junio de 2022, LockBit 3.0 llamó la atención de los investigadores cuando los operadores agregaron nuevas funciones de anti-análisis y evasión al arsenal. Mostró similitudes con el ransomware BlackMatter en este sentido y las técnicas incluyeron empaquetado de código, trampolines de funciones y resolución dinámica de direcciones de funciones.

Hacia fines de septiembre de 2022, los operadores sufrieron un revés cuando supuestamente los desarrolladores descontentos filtraron el código fuente de LockBit 3.0. Sin embargo, esto no afectó a los atacantes y el panorama de amenazas fue testigo de una nueva versión llamada LockBit Green en febrero.

La nueva versión toma prestado su código del ransomware Conti y utiliza análisis de ingeniería inversa. Se cree que al menos cinco víctimas fueron atacadas con la nueva variante LockBit Green.

LockBit siguió siendo una de las familias de ransomware más activas en ataques de extorsión y RaaS exitosos durante el segundo y tercer trimestre de 2022. Los datos de los sitios de fuga mostraron que LockBit contó un total de 436 organizaciones víctimas entre abril y septiembre.

lockbitransomware

Comparte este Artículo

Artículos relacionados