Ransomware LockBit presente en el Panorama de Amenazas

El ransomware Lockbit ha emergido como una de las amenazas más peligrosas y sofisticadas en el mundo de la ciberseguridad en los últimos años comprometiendo a miles de organizaciones en ataques coordinados y altamente sofisticados tanto en su ejecución como en sus operaciones de anonimato, permitiéndoles mantener campañas activas ininterrumpidamente desde 2019 a la fecha, perfeccionando así sus herramientas cada vez más, inclusive de forma conjunta con otros actores de amenaza, lo que demuestra su capacidad de liderazgo en el sector, siendo el ransomware más prolífico de la historia.

DESCRIPCIÓN DEL CIBER ACTOR

Nota de rescate

El ransomware LockBit ha estado presente desde septiembre del año 2019 en el panorama de amenazas mundial, solo que en sus inicios se le conocía como “ransomware ABCD”, esto debido a la extensión que agregaba a los archivos cuando eran cifrados.

Este grupo funciona bajo el formato RaaS (Ransomware as a Service) y la doble extorsión, en donde no solo cifran los datos, sino además extraen y exponen a la venta información confidencial de empresas y organizaciones por si alguien se interesa en comprarla, todo esto en la clandestinidad de la DDW (Deep Dark Web).

Este grupo tiene antecedentes de colaboración con grupo BlackMatter y con utilización de código de CONTI, lo que lo vincula radicalmente con operadores Rusos.

Este grupo ha presentado gran resiliencia y ha lanzado múltiples Mirror de sus sitios web alojados en la red TOR para mantener una alta disponibilidad, lo que a su vez significa una gran infraestructura por detrás, con grandes capacidades de SecOps para permanecer anónimos, ya que incluso han lanzado programas públicos de BugBounty para poner a prueba tanto sus servicios, infraestructura e identidad (Doxing)

Línea de tiempo y versiones de Lockbit

• Variante 1: la extensión[.]abcd - 2019
  La primera variante del ransomware LockBit se lanzó en septiembre de 2019. Después de esto, el grupo se estableció como proveedor de RaaS. Este ransomware también se consideraba una subclase del virus criptográfico, ya que exigía un rescate en forma de criptomoneda. Esta versión original de LockBit cambia el nombre de los archivos, reemplazando su extensión original por «.abcd». Además, inserta en cada carpeta el archivo «Restore-My-Files.txt», que contiene la nota de rescate con exigencias e instrucciones para la supuesta restauración.
   
• LockBit Linux-ESXi Locker versión 1.0
  Esta versión de LockBit se implementó en octubre de 2021 para apuntar a hosts Linux y cifrar archivos en servidores ESXi , que alojan varias máquinas virtuales. Esta versión se consideró compleja ya que empleaba tanto el Estándar de cifrado avanzado (AES) como la criptografía de curva elíptica (ECC) para el cifrado de datos. AES implica múltiples etapas de cifrado para ocultar información y ECC es un tipo de técnica de cifrado de clave pública que es más rápida que otras técnicas de cifrado. AES y ECC juntos reforzaron el cifrado de datos robados para los actores de LockBit.
   
• Variante 2: la extensión[.]LockBit - 2021 - RED
  La segunda versión conocida de este ransomware adoptó la extensión de archivo «[.]LockBit», lo que le da su apodo actual. Sin embargo, las víctimas observarán que otros rasgos de esta versión son casi idénticos, a pesar de algunas revisiones del backend. A partir de esta versión, el ransomware se hizo famoso por su autopropagación, capaz de propagar un script infectado entre dispositivos sin intervención humana.
   
• Variante 3: versión 2 de[.]LockBit - 2022 - BLACK
  La siguiente versión identificable de LockBit ya no requiere descargar el navegador Tor en sus instrucciones de rescate, sino que envía a las víctimas a un sitio web alternativo a través de un acceso tradicional a Internet. 

Corresponde a una versión mejorada de LockBit 2.0 con avances en técnicas de doble extorsión, además esta variante explotaba Windows Defender para establecer una cadena de infecciones de malware en múltiples dispositivos utilizando Cobalt Strike, una herramienta comercial de pruebas de penetración. Al pasar por alto Windows Defender, la variante también estableció una vía para la descarga mediante la cual otros actores de amenazas podrían filtrar datos de los dispositivos infectados. Esta versión tomó por sorpresa a las empresas con sus avanzadas técnicas de cifrado y exfiltración de datos.

• Variante 4: Versión 4 de LockBit - 2023 - GREEN
  Asimilando el código fuente del ransomware Conti. Esta variante del ransomware se diseñó en última instancia para apuntar a servicios basados ​​en la nube. Los expertos en seguridad consideraron que el código fuente de esta variante era una réplica completa del cifrador Conti, excepto por la nota de rescate, que fue modificada para hacer referencia a LockBit.
   
• LockBit en macOS
  En abril de 2023, se informó que el proveedor de RaaS había surgido con su nueva variante de ransomware, que era exclusiva para macOS. Se trataba de artefactos avanzados capaces de cifrar archivos en dispositivos que ejecutan Apple macOS.

Desde sus inicios lockbit ha pasado por diversas iteraciones en su cifrado que van desde su encriptador personalizado, hasta pasar por una reutilización del cifrador del conocido grupo BlackMatter en su anterior versión lockbit 3.0.

En la reciente versión lanzada, denominada Lockbit Green, según las investigaciones, no es más que otra copia del código fuente del cifrador del conocido grupo Conti, y que si bien descubrieron un alto porcentaje de coincidencia del código fuente de Conti, adicionalmente lockbit le imprime sus funciones personalizadas que les permitan bypasear las medidas de seguridad. 

Cabe destacar que la versión de LockBit 3.0 fue filtrada y publicada de forma abierta en foros de la DDW, desde donde múltiples usuarios la han reutilizado para crear sus propias campañas de ransomware bajo nombres similares como Lockbit Locker, pero que no se vinculan con el grupo original, sin embargo, una característica relevante para la identificación de los reales actores detrás del ataque es con su nota de rescate, ya que el grupo original de LockBit direcciona  a sus múltiples canales de comunicación en la red TOR, mientras que aquellos que han reutilizado el código, deben optar por otros canales de comunicación como por ejemplo, correo electrónico o TOX.

El builder de LockBit 3.0 filtrado, que aún es posible encontrar en diversos foros,, se encontraba dentro de  un archivo [.]7z protegido por contraseña llamado “LockBit3Builder[.]7z” que contaba con cuatro archivos dentro:

• Build[.]bat – archivo por lotes para construir todos los archivos.
• builder[.]exe – el propio constructor.
• config[.]json: – archivo de configuración utilizado para ajustar el ransomware.
• keygen[.]exe – es un generador de claves de cifrado.

VÍCTIMAS

• Globales: 2,171 conocidas
• Latam: 67 víctimas 2022 y 61 víctimas 2023

• CHILE

Para Chile se conocen 9 ataques por parte de LockBit, uno en 2021, cuatro en 2022 y cuatro en lo que va de este 2023.

Entre los sectores productivos con mayor incidencia en Chile, encontramos a gobierno, infraestructura TI y organizaciones de defensa y orden público. 

Mientras que en general para el año 2023 los sectores productivos con más incidencias para el año 2023 se encuentran Industrias manufactureras, materiales y minería, Servicios empresariales y comercio, Banca y Finanzas.

No se observa presencia de ataques a organizaciones públicas, sociales, de salud o educacionales, revelando intereses altamente financieros que no son capaces de entregar dichas organizaciones
 

GRÁFICO CON VÍCTIMAS GLOBALES 2023

Este gráfico se encuentra conformado por datos de víctimas publicadas en el sitio web del grupo, pero que referencia principalmente a aquellos a quienes desean extorsionar debido a que no han llegado a negociaciones favorables para el grupo de ransomware teniendo hasta el momento un total de 793 víctimas conocidas.

Mapa Calor 2023

Vector de Ataque y TTP´s MITRE

Los ciberactores detrás de Lockbit poseen amplias capacidades y conocimientos en cuanto a las formas de comprometer a sus potenciales víctimas, debido a que al actual como un Ransomware as a Service, cada afiliado accede a las redes de sus víctimas con el método que estime conveniente, para luego una vez ganado el acceso, se le entrega el control a los operadores de Lockbit, quienes ejecutan el ransomware en la víctima  y realizan la extorsión, de forma tal que se hace difícil predecir qué método usarán en sus siguientes  ataques, sin embargo entre algunos de los procesos identificados se destaca los siguiente:

A continuación de describe una tabla donde se exponen todos los TTP identificados para el actor de amenaza LockBit

Herramientas utilizadas 

Se aloja en

Resumen

1. Se propaga a través de correo electrónico, kits de explotación o aprovechándose de vulnerabilidades en sistemas desactualizados.
2. Efectúa un reconocimiento del equipo afectado extrayendo credenciales y ganando acceso inicial.
3. Efectúa movimiento lateral en busca de otros equipos vulnerables y descubriendo servidores con información para extraer.
4. Despliega mecanismos de evasión, anti virtualización, inyectándose en procesos legítimos de los sistemas afectados para pasar desapercibido.
5. Gana persistencia y eleva privilegios de administrador.
6. Establece conexiones remotas con su Comando y Control (C2).
7. Extrae la información crítica de la empresa u organización en pequeñas partes para pasar desapercibido por los mecanismos de monitoreo y detección.
8. Se despliega la carga útil de LockBit para cifrar la información en el equipo víctima, mostrando la nota de rescate.
9. Los datos de la empresa afectada son publicados en la DDW, a la espera de que sean recuperados por los afectados o expuestos cuando se concrete el plazo estipulado en cuenta regresiva para pagar por el rescate (doble extorsión).

Apreciación

En base a lo identificado previamente, es altamente esperable que este actor de amenazas continúe sus operaciones ininterrumpidamente, mejorando así sus herramientas y TTP, de forma que se mantiene como una amenaza latente para todo el mundo, sin embargo, pese a que LATAM no es uno de sus objetivos predilectos, si se cuenta con algunos registros de ataques durante 2022 y 2023 inclusive en Chile, encontrándose como el sexto país más afectado de la región, mientras que se posiciona en el puesto 31  a nivel global durante 2023.

Dado estos antecedentes y entendiendo que sus industrias preferidas de ataque son aquellas del sector privado, banca y finanzas, debido a sus motivaciones netamente financieras, y entendiendo que Chile es uno de los países económicamente estables de la región, es esperable que sus objetivos continúen volviéndose más comunes pero no necesariamente sus preferidos, ya que México y Brasil, Colombia y Argentina, se mantienen como los más afectados durante 2022 y 2023 consecutivamente y que solo una postura de ciberseguridad bien desarrollada y el no pago de rescates, podrá detener el interés de los actores, ya que a medida que más negociación exitosas (para los actores) sean concretadas, más interés tendrán los actores de obtener dinero desde la región.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• No abrir archivos de Microsoft Office que contengan MACROS hasta obtener confirmación del remitente y verificar que el envío sea bajo estrictas políticas de seguridad como por ejemplo: archivo cifrado, contraseña enviada por otro medio, contacto directo con el remitente.
• Utilizar el principio de menor privilegio, que trata de dividir el uso del sistema en dos cuentas, una estándar para uso diario que incluya las mínimas funciones posibles y otra cuenta de administrador que permita acceder al núcleo de su dispositivo.
• Tener atención y evitar extensiones como “exe”, “vbs” y “scr”. Es necesario vigilar este tipo de archivos, ya que podrían ser peligrosos. Un atacante podría utilizar diversas extensiones para enmascarar archivos maliciosos como un vídeo, foto, o un documento como: (reporte-clientes.doc.scr).
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.