Los ciberdelincuentes detrás de LockBit evolucionan en sus enfoques y ataques
- Actualidad
Responsable del 40% de todos los ataques de ransomware analizados en mayo, la versión 3.0 de LockBit presenta un programa de recompensas por errores, para controlar sus propias vulnerabilidades de malware, además de protecciones anti-análisis y técnicas de living off the land.
El ransomware LockBit no ha dejado de evolucionar. De hecho, LockBit se transformó en un programa de afiliados de RaaS, un modelo basado en suscripción que permite a los ciberdelincuentes comprar ransomware estándar de los desarrolladores, que ganan un porcentaje de cada rescate. Pues bien, LockBit 3.0, la última versión que fue lanzada en junio de este año bajo el eslogan “Make Ransomware Great Again”, y que se ha hecho famosa por explotar la vulnerabilidad Log4j y aprovecharse de un popular sistema antivirus para evadir la detección, ha sido responsable del 40% de todos los ataques de ransomware analizados en mayo de 2022.
CyberArk Labs destaca tres características de LockBit 3.0 a tener en cuenta:
--Cuenta con un programa de recompensas de errores único en su clase. En marzo de 2022, los investigadores de Microsoft publicaron un informe sobre errores críticos en LockBit 2.0, lo que contribuyó a la aparición de la versión 3.0, con un programa de recompensas por errores. Con ello, el grupo LockBit está trabajando para controlar sus propias vulnerabilidades de malware y evitar que los investigadores reviertan el impacto del ransomware.
--Integra protecciones anti-análisis. Uno de los cambios más significativos fue la introducción de un código de acceso único para cada muestra de LockBit 3.0. Sin el código de acceso, la muestra no se ejecutará, de tal manera que no es posible analizar el malware de forma dinámica sin una contraseña. Estas medidas contra el análisis se están convirtiendo en una tendencia que podrían ser adoptadas por otros grupos de ransomware.
--Emplea nuevas técnicas de living off the land (LotL) que convierten en armas cualquier herramienta de seguridad. Recientes informes señalan que los actores de LockBit 3.0 obtienen acceso inicial a través de la vulnerabilidad Log4j, empleando nuevas tácticas para armar herramientas de seguridad legítimas que, a menudo, operan fuera de los controles de seguridad instalados y evaden la detección por EDR y las herramientas antivirus tradicionales.
Como lo está demostrando LockBit 3.0, cada versión es una oportunidad para cambiar el juego y los ciberdelincuentes de ransomware seguirán evolucionando en sus enfoques y sus ataques. CyberArk recomienda adoptar un conjunto correcto de defensas de múltiples capas, incluidos los controles de seguridad de endpoints. A la vez que se protegen los endpoints mientras se automatizan las elevaciones de privilegios para los usuarios finales, de manera transparente, con el objetivo de desmantelar la cadena de ataque.