¿Qué es el ransomware LockBit?

El galardonado ThreatDown MDR detiene las amenazas que otros pasan por alto

Explorar MDR

Introducción

LockBit es un sofisticado modelo de ransomware como servicio (RaaS) que apareció por primera vez en septiembre de 2019 con el nombre de «ABCD Ransomware». Rápidamente ganó popularidad gracias a sus métodos automatizados de propagación a través de las redes y su alto nivel de personalización para los afiliados. En 2020, cambió su nombre por el de LockBit y comenzó a dominar el ecosistemadel ransomware.

A diferencia del ransomware tradicional, que depende en gran medida de operadores humanos para su implementación, LockBit hace hincapié en la automatización. Esta eficiencia le ha permitido convertirse en una de las cepas de ransomware de cifrado más rápidas hasta la fecha. Se dirige principalmente a empresas y organismos gubernamentales con grandes recursos económicos, lo que los hace más propensos a pagar rescates sustanciales.

Cómo funciona LockBit

LockBit emplea un modelo de ataque multifase, diseñado para obtener el máximo impacto y la mínima detección. A continuación se ofrece una visión general de sus fases operativas:

Acceso inicial

LockBit suele obtener el acceso inicial a través de:

  • Correos electrónicos de phishing: correos electrónicos que contienen archivos adjuntos o enlaces maliciosos que engañan a los destinatarios para que ejecuten el malware.
  • Aprovechamiento de vulnerabilidades: Las vulnerabilidades de software sin parchear proporcionan un punto de entrada.
  • Credenciales comprometidas: las contraseñas débiles o robadas permiten a los atacantes acceder a los sistemas.

Propagación de la red

Una vez dentro, LockBit emplea tácticas de movimiento lateral para propagarse. Utiliza:

  • Explotación de Active Directory: esto le permite localizar e infectar sistemas de alto valor.
  • Scripts de autopropagación: Estos scripts escanean e infiltran los dispositivos conectados.
  • Recopilación de credenciales: al extraer contraseñas almacenadas, LockBit amplía su alcance dentro de la red.

Exfiltración de datos

Antes de cifrar los archivos, LockBit roba datos confidenciales. Este proceso forma parte de la táctica de «doble extorsión»:

  • Se amenaza a las víctimas con hacer públicos sus datos si se niegan a pagar.
  • Los datos robados pueden incluir propiedad intelectual, registros de clientes u otra información confidencial.

Cifrado y petición de rescate

LockBit cifra los archivos utilizando algoritmos robustos, lo que los hace inaccesibles sin una clave de descifrado. A continuación, se muestra una nota de rescate en la que se detalla:

  • La cantidad de criptomoneda necesaria.
  • Plazos de pago (a menudo con exigencias cada vez mayores).
  • Instrucciones para la comunicación con los atacantes.

Fuga de datos

Si no se paga el rescate, los datos robados se publican en el sitio web oscuro de LockBit dedicado a la filtración de datos. Esto añade el daño a la reputación a las pérdidas financieras y operativas sufridas por la víctima.

Características destacadas de LockBit

LockBit destaca entre las familias de ransomware debido a varias características únicas:

Modelo RaaS altamente personalizable

LockBit opera como un RaaS, lo que permite a los afiliados «alquilar» el ransomware a cambio de una parte de los beneficios. Los afiliados pueden personalizar el ransomware con cargas útiles específicas y preferencias de cifrado, lo que lo hace versátil y muy extendido.

Velocidad de cifrado rápida

LockBit emplea un código optimizado para cifrar archivos más rápido que la mayoría de los programas de rescate. Esta eficiencia minimiza el tiempo de detección y respuesta, amplificando su impacto.

Advanced Técnicas de evasión

LockBit incorpora:

  • Evasión de sandbox: evitar la ejecución en entornos virtuales utilizados para el análisis de malware.
  • Elusión de antivirus: desactivación de herramientas de seguridad y ofuscación de código para evitar la detección.
  • Modo sigiloso: cifrado silencioso de datos sin alertar a los administradores del sistema.

Doble y triple extorsión

Además de cifrar archivos, los operadores de LockBit pueden dedicarse a:

  • Publicación de datos: filtración de información confidencial en Internet.
  • Ataques DDoS: interrumpen las operaciones de las víctimas saturando sus servidores.

Evolución de LockBit: Variantes y campañas

LockBit 2.0

Lanzado a mediados de 2021, LockBit 2.0 introdujo varios avances:

  • Cifrado más rápido.
  • Capacidad de sigilo mejorada.
  • Mejora de las ventajas del programa de afiliación.

LockBit 3.0 (LockBit Negro)

Lanzado a mediados de 2021, LockBit 2.0 introdujo varios avances:

  • Introdujo la triple extorsión.
  • Ofreció un programa de recompensas por fallos, invitando a los investigadores a notificar fallos a cambio de recompensas.
  • Compatibilidad multiplataforma mejorada, dirigida a Windows, Linux e incluso entornos virtuales.

Ataques de alto perfil

Lanzado a mediados de 2021, LockBit 2.0 introdujo varios avances:

  • Organizaciones sanitarias: hospitales y clínicas, donde el tiempo de inactividad puede poner en peligro la vida.
  • Infraestructuras críticas: sistemas energéticos, de transporte y de abastecimiento de agua.
  • Empresas globales: Compañías como Accenture han informado de violaciones atribuidas a LockBit.

El impacto de los ataques LockBit

Las actividades de LockBit han tenido consecuencias de gran alcance, entre ellas:

Pérdidas financieras

Las víctimas deben hacer frente a los gastos relacionados con:

  • Pagos de rescate.
  • Recuperación del sistema y restauración de datos.
  • Multas reglamentarias por violación de datos.

Perturbaciones operativas

Los sistemas cifrados detienen las operaciones comerciales, lo que da lugar a:

  • Pérdida de ingresos.
  • Relaciones dañadas con los clientes.
  • Pérdida de plazos y oportunidades.

Daño a la reputación

La divulgación pública de un ataque de ransomware socava la confianza, especialmente cuando se filtran datos confidenciales de clientes.

Cuestiones legales y de cumplimiento normativo

Las organizaciones deben cumplir con las leyes sobre violación de datos y pueden enfrentarse a demandas por parte de las personas afectadas.

Estrategias de mitigación de LockBit

Aunque LockBit sigue siendo una potente amenaza, las medidas proactivas pueden reducir significativamente el riesgo y el impacto de un ataque. Entre ellas se incluyen:

Formación de los empleados

  • Lleve a cabo programas periódicos de concienciación sobre ciberseguridad.
  • Enseñe al personal a reconocer los intentos de phishing.

Prácticas de seguridad sólidas

  • Utilice contraseñas fuertes y únicas y active la autenticación multifactor (MFA).
  • Actualiceregularmente las vulnerabilidadesdel softwarey el firmware.

Segmentación de la red

  • Aísle los sistemas críticos para limitar la propagación del ransomware.
  • Aplique controles de acceso estrictos.

Copias de seguridad periódicas

  • Mantenga copias de seguridad cifradas y sin conexión de todos los datos esenciales.
  • Prueba periódicamente las copias de seguridad para asegurarte de que pueden restaurarse.

Endpoint Detection and Response (EDR) Herramientas

  • Implementeherramientas EDRcapaces de identificar y mitigar la actividad del ransomware en tiempo real.

Planificación de la respuesta a incidentes

  • Elabore y actualice periódicamente un plan de respuesta al ransomware.
  • Realice simulacros para prepararse ante posibles ataques.

Conclusión

LockBit es un ejemplo de la creciente sofisticación de las operaciones de ransomware en el panorama actual de las amenazas cibernéticas. Su automatización, su rápido cifrado y sus tácticas de extorsión múltiples lo convierten en un adversario formidable. Sin embargo, mediante una combinación de concienciación, prácticas de seguridad sólidas y una planificación robusta de la respuesta a incidentes, las organizaciones pueden defenderse de LockBit y otras amenazas de ransomware.

La clave está en mantenerse alerta, adoptar una postura de seguridad proactiva y fomentar la colaboración entre los gobiernos, el sector privado y los expertos en ciberseguridad para abordar las causas fundamentales de la proliferación del ransomware. En un mundo en el que los datos son invaluables, protegerlos ya no es opcional, es una necesidad.

Recursos destacados

Preguntas frecuentes (FAQ) sobre el ransomware LockBit

¿Por qué es tan peligroso el ransomware LockBit?

LockBit es excepcionalmente peligroso por su velocidad, eficacia y funciones avanzadas. Cifra los datos más rápido que la mayoría del ransomware, emplea técnicas de evasión para evitar ser detectado y utiliza tácticas de extorsión dobles o incluso triples, como amenazar con filtrar los datos robados o lanzar ataques DDoS, para aumentar la presión sobre las víctimas. Su adaptabilidad a través del modelo Ransomware-as-a-Service (RaaS) también permite a los afiliados desplegar ataques personalizados.

¿Cómo se propaga LockBit dentro de una red?

LockBit se propaga a través de múltiples métodos, incluyendo correos electrónicos de phishing, explotando vulnerabilidades de software no parcheadas y utilizando credenciales comprometidas. Una vez dentro de un sistema, emplea técnicas de movimiento lateral como scripts de autopropagación y recolección de credenciales para infectar dispositivos conectados y hacerse con el control de objetivos de alto valor.

¿Qué medidas pueden tomar las organizaciones para protegerse de LockBit?

Para mitigar el riesgo de ataques LockBit, las organizaciones deben:

  • Forme a los empleados para identificar los intentos de phishing.
  • Utilice contraseñas seguras y autenticación multifactor.
  • Actualice y parchee periódicamente el software para corregir vulnerabilidades.
  • Mantenga copias de seguridad offline de los datos críticos.
  • Implementeherramientas de detección de puntos finalesy desarrolle un plan de respuesta ante incidentes para gestionar eficazmente posibles infracciones.