El ransomware Lockbit ha emergido como una de las amenazas más peligrosas y sofisticadas en el mundo de la ciberseguridad en los últimos años comprometiendo a miles de organizaciones en ataques coordinados y altamente sofisticados tanto en su ejecución como en sus operaciones de anonimato, permitiéndoles mantener campañas activas ininterrumpidamente desde 2019 a la fecha, perfeccionando así sus herramientas cada vez más, inclusive de forma conjunta con otros actores de amenaza, lo que demuestra su capacidad de liderazgo en el sector, siendo el ransomware más prolífico de la historia.
DESCRIPCIÓN DEL CIBER ACTOR
Nota de rescate
El ransomware LockBit ha estado presente desde septiembre del año 2019 en el panorama de amenazas mundial, solo que en sus inicios se le conocía como “ransomware ABCD”, esto debido a la extensión que agregaba a los archivos cuando eran cifrados.
Este grupo funciona bajo el formato RaaS (Ransomware as a Service) y la doble extorsión, en donde no solo cifran los datos, sino además extraen y exponen a la venta información confidencial de empresas y organizaciones por si alguien se interesa en comprarla, todo esto en la clandestinidad de la DDW (Deep Dark Web).
Este grupo tiene antecedentes de colaboración con grupo BlackMatter y con utilización de código de CONTI, lo que lo vincula radicalmente con operadores Rusos.
Este grupo ha presentado gran resiliencia y ha lanzado múltiples Mirror de sus sitios web alojados en la red TOR para mantener una alta disponibilidad, lo que a su vez significa una gran infraestructura por detrás, con grandes capacidades de SecOps para permanecer anónimos, ya que incluso han lanzado programas públicos de BugBounty para poner a prueba tanto sus servicios, infraestructura e identidad (Doxing)
Línea de tiempo y versiones de Lockbit
Corresponde a una versión mejorada de LockBit 2.0 con avances en técnicas de doble extorsión, además esta variante explotaba Windows Defender para establecer una cadena de infecciones de malware en múltiples dispositivos utilizando Cobalt Strike, una herramienta comercial de pruebas de penetración. Al pasar por alto Windows Defender, la variante también estableció una vía para la descarga mediante la cual otros actores de amenazas podrían filtrar datos de los dispositivos infectados. Esta versión tomó por sorpresa a las empresas con sus avanzadas técnicas de cifrado y exfiltración de datos.
Desde sus inicios lockbit ha pasado por diversas iteraciones en su cifrado que van desde su encriptador personalizado, hasta pasar por una reutilización del cifrador del conocido grupo BlackMatter en su anterior versión lockbit 3.0.
En la reciente versión lanzada, denominada Lockbit Green, según las investigaciones, no es más que otra copia del código fuente del cifrador del conocido grupo Conti, y que si bien descubrieron un alto porcentaje de coincidencia del código fuente de Conti, adicionalmente lockbit le imprime sus funciones personalizadas que les permitan bypasear las medidas de seguridad.
Cabe destacar que la versión de LockBit 3.0 fue filtrada y publicada de forma abierta en foros de la DDW, desde donde múltiples usuarios la han reutilizado para crear sus propias campañas de ransomware bajo nombres similares como Lockbit Locker, pero que no se vinculan con el grupo original, sin embargo, una característica relevante para la identificación de los reales actores detrás del ataque es con su nota de rescate, ya que el grupo original de LockBit direcciona a sus múltiples canales de comunicación en la red TOR, mientras que aquellos que han reutilizado el código, deben optar por otros canales de comunicación como por ejemplo, correo electrónico o TOX.
El builder de LockBit 3.0 filtrado, que aún es posible encontrar en diversos foros,, se encontraba dentro de un archivo [.]7z protegido por contraseña llamado “LockBit3Builder[.]7z” que contaba con cuatro archivos dentro:
VÍCTIMAS
Para Chile se conocen 9 ataques por parte de LockBit, uno en 2021, cuatro en 2022 y cuatro en lo que va de este 2023.
Entre los sectores productivos con mayor incidencia en Chile, encontramos a gobierno, infraestructura TI y organizaciones de defensa y orden público.
Mientras que en general para el año 2023 los sectores productivos con más incidencias para el año 2023 se encuentran Industrias manufactureras, materiales y minería, Servicios empresariales y comercio, Banca y Finanzas.
No se observa presencia de ataques a organizaciones públicas, sociales, de salud o educacionales, revelando intereses altamente financieros que no son capaces de entregar dichas organizaciones
GRÁFICO CON VÍCTIMAS GLOBALES 2023
Este gráfico se encuentra conformado por datos de víctimas publicadas en el sitio web del grupo, pero que referencia principalmente a aquellos a quienes desean extorsionar debido a que no han llegado a negociaciones favorables para el grupo de ransomware teniendo hasta el momento un total de 793 víctimas conocidas.
Mapa Calor 2023
Vector de Ataque y TTP´s MITRE
Los ciberactores detrás de Lockbit poseen amplias capacidades y conocimientos en cuanto a las formas de comprometer a sus potenciales víctimas, debido a que al actual como un Ransomware as a Service, cada afiliado accede a las redes de sus víctimas con el método que estime conveniente, para luego una vez ganado el acceso, se le entrega el control a los operadores de Lockbit, quienes ejecutan el ransomware en la víctima y realizan la extorsión, de forma tal que se hace difícil predecir qué método usarán en sus siguientes ataques, sin embargo entre algunos de los procesos identificados se destaca los siguiente:
A continuación de describe una tabla donde se exponen todos los TTP identificados para el actor de amenaza LockBit
Herramientas utilizadas
Se aloja en
Resumen
Apreciación
En base a lo identificado previamente, es altamente esperable que este actor de amenazas continúe sus operaciones ininterrumpidamente, mejorando así sus herramientas y TTP, de forma que se mantiene como una amenaza latente para todo el mundo, sin embargo, pese a que LATAM no es uno de sus objetivos predilectos, si se cuenta con algunos registros de ataques durante 2022 y 2023 inclusive en Chile, encontrándose como el sexto país más afectado de la región, mientras que se posiciona en el puesto 31 a nivel global durante 2023.
Dado estos antecedentes y entendiendo que sus industrias preferidas de ataque son aquellas del sector privado, banca y finanzas, debido a sus motivaciones netamente financieras, y entendiendo que Chile es uno de los países económicamente estables de la región, es esperable que sus objetivos continúen volviéndose más comunes pero no necesariamente sus preferidos, ya que México y Brasil, Colombia y Argentina, se mantienen como los más afectados durante 2022 y 2023 consecutivamente y que solo una postura de ciberseguridad bien desarrollada y el no pago de rescates, podrá detener el interés de los actores, ya que a medida que más negociación exitosas (para los actores) sean concretadas, más interés tendrán los actores de obtener dinero desde la región.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Tipo | Indicador |
---|---|
LOCKBIT 3.0 | - |
ip | 64.32.25[.]202 |
hash | 01e7ba4b23b94269f16bef68f68... |
hash | a88e9c57e89817701d2651b556f... |
hash | 07014e419711c198dd2d5da99e3... |
hash | 0d90cd810fe65a79911f66d5cb8... |
hash | 0d481c8c9670a0aeadcc9ca4e66... |
hash | 917e115cc403e29b4388e0d175c... |
hash | 0216a3e4fc6b4a9715c93affa1d... |
hash | 007766d4253b0461d0a820246d6... |
hash | 2e8aaa6338cbf95d8d268559fb8... |
Lockbit 4.0 | - |
hash | c9f25675766ca9dfd85bb065835... |
hash | 003aebec57fc45e6a04b9701fca... |
hash | 9b7b35697314485a0d203f2371e... |
hash | 5b2c21487c19cd034a6e11c6884... |
hash | e7656710adbfc898707b58574b5... |
hash | ffa119d06827c2e9f0c078f5a4d... |
hash | 58d5cb459211801df205b0258cc... |
hash | b7f3e66d721f42af5ec1bb9e5c6... |
hash | 160bf334ebdf9e6baaa8c4d27b7... |
hash | ea5cb3700209debb6c0ea75a9ea... |
hash | a262d9ed7f8125aa53b4b413191... |
hash | 27b8ee04d9d59da8e07203c0ab1... |
hash | 45c317200e27e5c5692c59d0676... |
hash | b3ea0f4f442da3106c0d4f97cf2... |
hash | fb49b940570cfd241dea27ae768... |