Ciudad de México, 11 jun. (AMEXI).- Suplantación de identidad, autopropagación y diversidad de funcionalidades adaptativas, son las nuevas características de la variante del ransomware LockBit, que se hace pasar por empleados, alertó Kaspersky.
Los ataques van desde Chile, Guinea-Bisáu, Rusia e Italia y se están expandiendo a otros países.
“LockBit es un grupo de ciberdelincuentes que ofrece ransomware como servicio (RaaS). En febrero de 2024, una operación policial internacional tomó el control del grupo, pocos días después, el grupo de ransomware anunció desafiante que volvía a la acción”, precisó la empresa global de ciberseguridad con más de mil millones dispositivos protegidos.
Ransomware es un código malicioso que impide la utilización de los equipos y sistemas que infecta; el ciberdelincuente toma control del equipo y lo “secuestra” de varias maneras, cifrando la información, bloqueando la pantalla, etcétera, y pide rescate.
LockBit persiste, pues el constructor o builder filtrado en 2022 sigue como amenaza.
El equipo global de respuesta a emergencias de Kaspersky alertó sobre un ataque en el que los adversarios crearon su propia variante de malware cifrado, explotando credenciales de administrador privilegiado robadas.
El último incidente, que se registró en Guinea, reveló que emplean técnicas que no se habían visto anteriormente.
“Crea un efecto avalancha incontrolable con hosts infectados que propagan el malware dentro de la red de la víctima”.
Incidentes LockBit 3.0 se han observado en Chile, Rusia e Italia y continúan ampliándose. Este malware realiza suplantación de identidad y el actor se hace pasar por administrador y toma el control de las áreas más críticas de la infraestructura.
El ransomware personalizado también puede propagarse autónomamente a través de la red utilizando credenciales de dominio altamente privilegiadas y desactivar Windows Defender, cifrar comparticiones de red y borrar los registros de eventos de Windows para cifrar datos y ocultar sus acciones. Cada host infectado infecta otros dentro de la red.
Realiza funcionalidades adaptativas; los archivos de configuración personalizados y las funcionalidades antes mencionadas permiten que se adapte a configuraciones específicas de la arquitectura.
El atacante puede configurar el ransomware para infectar sólo archivos específicos, como todos los .xlsx y .docx, o sólo un conjunto de sistemas específicos.
“Kaspersky observó que realizaba actividades maliciosas y generaba una nota de rescate personalizada en el escritorio que incluye detalles sobre cómo la víctima debe contactar a los atacantes para obtener el descodificador.
El builder LockBit 3.0 fue filtrado en 2022, pero los atacantes aún lo usan activamente para crear versiones personalizadas”, señalan.
“Han mejorado la efectividad de sus ataques, que son aún más peligrosos, considerando la frecuencia creciente de fugas de credenciales corporativas; los atacantes localizaron y extrajeron contraseñas guardadas para conexiones remotas”, informó en un comunicado Cristian Souza, especialista en respuesta a incidentes del equipo de Kaspersky.
Recientemente, las autoridades realizaron una operación y desmantelaron el grupo de ransomware LockBit, además obtuvieron claves de descodificación privadas y prepararon herramientas para descifrar archivos basados en IDs conocidos. Kaspersky pone a disposición el informe del Equipo Global de Respuesta, con recomendaciones.
