El ransomware LockBit resurge con la versión 2.0

Investigadores de Trend Micro han analizado LockBit, un grupo de ransomware que resurgió en junio con LockBit 2.0, con informes que indican un mayor número de empresas objetivo y la incorporación de características de doble extorsión influenciadas por familias ransomware como Ryuk y Egregor. Del 1 de julio al 15 de agosto, detectaron intentos de ataque en Chile, Italia, Taiwán y el Reino Unido.

En contraste con los ataques y características anteriores, esta versión incluye el cifrado automático de dispositivos en todos los dominios de Windows al abusar de las políticas de grupo de Active Directory (AD), lo que lleva al grupo detrás de él a afirmar que es una de las variantes de ransomware más rápidas en el mercado hoy en día. El grupo también incluye una campaña publicitaria para reclutar nuevos "afiliados" desde dentro de las propias empresas objetivo en sus ataques, aparentemente para eliminar intermediarios (de otros grupos de actores de amenazas) y para permitir ataques más rápidos al proporcionar credenciales válidas y acceso a redes corporativas.

LockBit 2.0 se enorgullece de tener uno de los métodos de cifrado más rápidos y eficientes en el panorama actual de amenazas ransomware. El análisis muestra que si bien utiliza un enfoque multiproceso en el cifrado, también sólo cifra parcialmente los archivos, ya que sólo 4 KB de datos se cifran por archivo.

Al igual que otras operaciones de ransomware-as-a-service (RaaS), LockBit 2.0 busca afiliados para realizar la intrusión y la exfiltración en los objetivos. El grupo también ayuda a los afiliados proporcionando StealBit, una herramienta que puede exfiltrar datos automáticamente. Los atacantes también pueden acceder a los sistemas de las víctimas con cuentas válidas de protocolo de escritorio remoto (RDP).

Una vez en un sistema, LockBit 2.0 utiliza un analizador de red para identificar la estructura de red y para encontrar el controlador de dominio de destino. También utiliza varios archivos por lotes que se pueden utilizar para finalizar procesos, servicios y herramientas de seguridad. LockBit 2.0 también abusa de herramientas legítimas como Process Hacker y PC Hunter para terminar los procesos y servicios en el sistema de la víctima.

Una vez en el controlador de dominio, el ransomware crea nuevas directivas de grupo y los envía a todos los dispositivos de la red. Estas directivas deshabilitan Windows Defender y distribuyen y ejecutan el binario ransomware en cada equipo con Windows. LockBit 2.0 también cambia el fondo de escritorio por una imagen con instrucciones sobre cómo las víctimas pueden pagar por el rescate y cómo los iniciados de la organización pueden ser parte de la "contratación de afiliados" del grupo detrás del ransomware. El grupo garantiza pagos de "millones de dólares" y anonimato a cambio de credenciales y acceso.