Your experience on this site will be improved by allowing cookies.
Más información sobre cómo usamos las cookies y de qué manera puede cambiar su configuración.
Este artículo viene a hablar de uno de los ransomware más conocidos: Lockbit, el cual es una de las variantes más famosas e implementadas a nivel global. Y es que han atacado una ingesta cantidad de organizaciones en diferentes sectores como pueden ser el de Transporte, Educación o Energía, sin olvidarnos del Sector Público....
En la actualidad, son muchos los vectores de ataque utilizados por ciberdelincuentes contra las organizaciones, donde cada día las noticias se hacen eco de ellos y, términos como phishing o ransomware, se han familiarizado en nuestro vocabulario.
Lockbit tiene una particularidad que le diferencia del resto de ransomware. Su modo de operación está basado en “Ransomware as a Service” (RaaS), que se trata de un tipo de ransomware que puede adquirir los ciberdelincuentes por medio de un modelo de suscripción o compraventa por medio de kits comercializados en la Deep-Dark Web.
Nuevas reglas en LockBit
Recientemente, el grupo Lockbit ha anunciado un debate entre sus afiliados sobre las políticas de los pagos en el rescate de los datos encriptados ante los descuentos ofrecidos por parte de los nuevos afiliados a las víctimas por la desesperación de recibir una cuantía mientras que, los afiliados más experimentados se mantienen firmes en las condiciones de pago del rescate. Ante esto, se han presentado diferentes opciones como:
No imponer nuevas reglas en su política de pagos en el recate, siendo el afiliado quien determina la cuantía del rescate.
Establecer un pago mínimo del 3% de los ingresos anuales de la víctima.
Permitir un descuento máximo del 50% sobre el precio original.
Exigir que el pago del rescate no sea inferior al de la póliza de seguro de rescate.
Por otra parte, la subdivisión “AGENCIA NACIONAL DE RIESGOS” del grupo Lockbit ha anunciado un endurecimiento de las reglas donde se afirma que no se aceptarán pagos inferiores al 3% de los ingresos anuales de la empresa víctima y, en caso de incumplimiento, las represalias podrán suponer la destrucción total de los datos recopilados.
Lockbit en el sector energético
Entre todos los sectores, uno de los más castigados con este tipo de ransomware es el energético, donde recientemente, el grupo LockBit se ha atribuido la responsabilidad del ciberataque a Gran Tierra Energy, empresa energética especializada en la producción de gas y petróleo donde, según la plataforma especializada en colección de estadísticas Statista, el curso pasado se produjeron 21 ataques globales en esta industria.
El sector de energía depende en gran parte de la tecnología, con lo que hace que sea susceptible a ciberataques unido a infraestructuras o tecnologías obsoletas.
Escenario de ataque
Este artículo ayuda a comprender las etapas de esta amenaza en el marco MITRE ATT&CK con el objetivo de entender el escenario de ataque desde el lado del ciberatacante. De esta forma, se analiza la acción-reacción para poder mitigar estas amenazas y evitar problemas más significativos. Para ello, hemos de comprender que ocurre en un escenario de ataque de LockBit.
El primer objetivo consiste en el acceso inicial (TA0001) a una red corporativa mediante técnicas comúnmente conocidas como el phishing, fuerza bruta o a formularios de acceso o explotando vulnerabilidades asociadas a aplicaciones web.
Una vez obtenido el acceso en la red de la organización y a través de la táctica de Ejecución (TA0002), se prepara el ataque a través de diferentes herramientas cuyo objetivo es infectar un host, donde el ransomware se propaga por el resto de red, infectando de esta manera numerosos equipos o dispositivos.
Durante el proceso de infección, usando la técnica de Exfiltración (TA0010), los archivos son encriptados o cifrados, donde se adjunta un documento que contiene una nota con los pasos a seguir para llevar a cabo el rescate para descifrar los archivos que han sido comprometidos. Estos archivos solo podrán ser descifrados mediante una herramienta concreta propia de LockBit, lo que provoca un Impacto (TA0040) que puede interrumpir las operaciones en la red de organización.
El ransomware LockBit se encuentra en constante desarrollo, actualizando sus diferentes variantes y haciendo que estas sean más poderosas. En este sentido, el marco MITRE ATT&CK pretende contrarrestar este ataque, ayudando a las organizaciones a mitigar esta amenaza.
Actualmente se encuentra en su versión 3.0, donde se mejoran los mecanismos de antidetección y evasión contra sistemas de detección de amenazas, siendo de esta manera más evasiva y rápida que sus anteriores versiones, llegando incluso a deshabilitar la aplicación Windows Defender y moderar los registros de eventos de Windows.
Ante el Impacto negativo que produce la propagación de este tipo de ransomware, se hace necesario disponer de medidas o sistemas que mitiguen esta amenaza, aumentando la defensa desde la detección de amenazas basados en firmas.
Medidas de prevención
A causa de los estragos producidos, es conveniente que las organizaciones tengan conocimiento de las diferentes medidas de prevención contra este tipo de amenazas para reducir el riesgo ante un incidente de este tipo.
Dado que los principales vectores de ataques son contra los usuarios de una empresa, se hace necesario dotar a estos de los conocimientos necesarios en materia de ciberseguridad, quienes deben estar capacitados para detectar posibles amenazas como el phishing, el cual en múltiples ocasiones es empelado como vector de entrada de ciberataques más peligrosos como en este caso el Ransomware.
Disponer de soluciones de seguridad en la infraestructura es un aspecto fundamental, dado que estos mecanismos de detección y prevención puede detectar el ataque en el momento de su ejecución. Existen números dispositivos y software disponibles para este fin como firewalls, IPS, IDS…
Proteger los servidores y dispositivos finales a través de la implementación de software antivirus y antimalware ayuda a detectar y eliminar posibles amenazas.
Finalmente, una de las medidas más importante que deben disponer las organizaciones y que debido a su importancia puede llegar a suponer la “salvación’’ son las copias de seguridad o backups. Realizar estas copias de manera periódica y regular de todos los datos críticos supone no perder el acceso a los datos en caso de un ciberataque de ransomware, pudiendo recuperar estos en su mayoría y mitigar la amenaza de manera considerable.
Existen otras medidas de prevención como simulaciones de Ransomware, donde se busca el aprendizaje y concienciación de los empleados.
Una de las medidas preventivas más utilizadas por las organizaciones se trata de ejercicios de Hacking Ético que tratan de simular ataques por parte de expertos en ciberseguridad para evaluar la seguridad de los sistemas, aplicaciones y redes de una empresa. El objetivo principal de estos ejercicios es identificar y remediar vulnerabilidades antes de que los ciberdelincuentes puedan explotarlas así como conocer el grado de madurez de una empresa en términos de resiliencia.
Finalmente, en un mundo digital lleno de amenazas, la ciberseguridad se ha convertido en una prioridad crítica para todas las organizaciones y es una inversión esencial para proteger su negocio, reputación y tranquilidad. En SCASSI, estamos listos para ser su defensor en materia de ciberseguridad. ¡Contáctenos hoy mismo y permítanos fortalecer sus defensas! comercio@scassi.com