LockBit, el leaked builder de 2022, sigue siendo una amenaza. Tras varios incidentes, el equipo de Respuesta de Emergencias Globales de Kaspersky alerta sobre un ataque en el que los adversarios crearon su propia variante de malware de cifrado, equipada con funcionalidades de autopropagación. Los cibercriminales vulneraron la infraestructura, explotando credenciales de administrador privilegiado robadas.
LockBit es un grupo de ciberdelincuentes que ofrece ransomware como servicio (RaaS). En febrero de 2024, una operación policial internacional se hizo con el control del grupo. Pocos días después de la operación, el grupo de ransomware anunció que volvía a la acción.
El último incidente en África Occidental, concretamente en Guinea-Bisáu, reveló que el ransomware personalizado emplea técnicas que no se habían visto anteriormente. Es capaz de crear un efecto avalancha incontrolable, con hosts infectados que intentan propagar el malware dentro de la red de la víctima. Por este motivo, Kaspersky presenta un análisis detallado para identificar este tipo de actor malicioso:
Suplantación de identidad. Aprovechando las credenciales ilícitamente adquiridas, el actor de la amenaza se hace pasar por el administrador del sistema con derechos privilegiados. Este escenario es crítico, ya que las cuentas privilegiadas ofrecen amplias oportunidades para ejecutar el ataque y acceder a las áreas más críticas de la infraestructura corporativa.
Autopropagación. El ransomware personalizado también puede propagarse autónomamente a través de la red utilizando credenciales de dominio altamente privilegiadas y realizar actividades maliciosas, como desactivar Windows Defender, cifrar comparticiones de red y borrar los registros de eventos de Windows para cifrar datos y ocultar sus acciones. Asimismo, el comportamiento del malware resulta en un escenario donde cada host infectado intenta infectar otros dentro de la red.
Funcionalidades adaptativas. Los archivos de configuración personalizados, junto con las funcionalidades mencionadas anteriormente, permiten que el malware se adapte a las configuraciones específicas de la arquitectura de la empresa comprometida. Por ejemplo, el atacante puede configurar el ransomware para infectar solo archivos específicos, como todos los archivos .xlsx y .docx, o solo un conjunto de sistemas específicos. Al ejecutar este build personalizado en una máquina virtual, Kaspersky observó que realizaba actividades maliciosas y generaba una nota de rescate personalizada en el escritorio. En escenarios reales, esta nota incluye detalles sobre cómo la víctima debe contactar a los atacantes para obtener el descodificador.
La llegada de LockBit 3.0
El leaked builder LockBit 3.0 fue filtrado en 2022, pero los atacantes aún lo usan activamente para crear versiones personalizadas, sin la necesidad de tener habilidades avanzadas de programación. Esta flexibilidad brinda a los adversarios muchas oportunidades para mejorar la efectividad de sus ataques. Esto hace que estos tipos de ataques sean aún más peligrosos, considerando la frecuencia creciente de fugas de credenciales corporativas.
Además, Kaspersky observó que los atacantes utilizaron el script SessionGopher para localizar y extraer contraseñas guardadas para conexiones remotas en los sistemas afectados.
Los incidentes que implican diversos tipos de técnicas basadas en LockBit 3.0, pero que carecen de la capacidad de autopropagación y suplantación de identidad encontradas en Guinea-Bisáu, se producen regularmente en diversas industrias y regiones. Se han observado en Rusia, Chile e Italia, y es posible que la geografía de los ataques siga ampliándose.
