Análisis de malware

Análisis del ransomware LockBit 3.0

14 de septiembre de por Pedro Tavares

LockBit ha sido una de las piezas de ransomware más populares y peligrosas desde. El grupo detrás de la amenaza suele atacar infraestructuras críticas, como los sistemas de salud, incluidos los hospitales.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Descripción general de LockBit 2.0

Si observamos el sitio web de LockBit 2.0, más de 850 víctimas se vieron afectadas en por este ransomware, una clara señal del daño y el impacto causado por los operadores de LockBit durante sus salvajes campañas. Los delincuentes afirman que dañaron al menos 12.125 empresas durante la versión LockBit 2.0, como se ve a continuación.

1: Total de empresas comprometidas según la versión LockBit 2.0.

Según la publicación PaloAlto , EE.UU., Italia, Alemania, Canadá y Francia son los cinco países más afectados por las campañas de LockBit 2.0, y los delincuentes causan un enorme impacto global.

2: Los 10 principales países afectados por LockBit 2.0 ( fuente ).

Lanzamiento de LockBit 3.0

Con la introducción de la nueva versión del ransomware LockBit (versión 3.0), se implementaron capacidades importantes, incluido un programa de recompensas por errores y pagos Zcash.

Aunque no hay cifras oficiales sobre incidentes relacionados con esta nueva versión, los delincuentes decidieron en junio cambiar a LockBit 3.0, y algunas víctimas se pueden encontrar en el sitio web del grupo.

3: Víctimas de LockBit 3.0.

Las notas del ransomware ya no se denominan » Restore-My-Files.txt «, sino que se trasladaron a un nuevo formato: [id].README.txt , como se presenta a continuación.

4: Nota de ransomware de la versión LockBit 3.0.

Además, los delincuentes introducen un nuevo fondo de escritorio en esta nueva versión, como se muestra en la 5.

Fondo de escritorio LockBit 2.0 ( fuente )

Fondo de escritorio LockBit 3.0

5: Diferencias entre el fondo de pantalla de escritorio LockBit 2.0 y 3.0.

Capacidades notables introducidas en la versión 3.0

Los operadores de LockBit 3.0 introdujeron muchas capacidades nuevas en esta versión 3.0, que incluyen:

Después de ejecutarse, LockBit 3.0 intenta deshabilitar Windows Defender para evitar su detección, como se mencionó anteriormente.

6: LockBit 3.0 desactiva Windows Defender durante su ejecución.

Dentro de algunas características observadas, los delincuentes también introdujeron un error en el programa de recompensas. Este es el primer programa de recompensas por errores lanzado por un grupo de ransomware que anima a los investigadores a enviar informes de seguridad para obtener recompensas que oscilan entre 1.000 y 1 millón de dólares.

» Invitamos a todos los investigadores de seguridad y hackers éticos y no éticos del planeta a participar en nuestro programa de recompensas por errores. El monto de la remuneración varía entre 1.000 dólares y 1 millón de dólares. «

7: Programa de recompensas por errores ofrecido por los operadores de LockBit.

La banda de ransomware también recompensará las “ideas brillantes” para mejorar sus operaciones. Como era de esperar, este programa de recompensas por errores difiere de los programas tradicionales y legítimos. Las categorías disponibles se presentan a continuación.

8: Categorías de recompensas por errores presentes en el sitio web de LockBit 3.0.

La incorporación de Zcash como opción de pago es otra de las novedades presentes en esta nueva versión. En detalle, Zcash es una moneda de privacidad, lo que dificulta su seguimiento y es el método de pago perfecto para fines ilegales.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Medidas de prevención

Aunque no existe una fórmula mágica para detener el ransomware en general, podemos ofrecer una serie de pasos para reducir el riesgo de un incidente de esta naturaleza.

Finalmente, sea proactivo y realice evaluaciones de ciberseguridad para encontrar y mitigar debilidades para prevenir ataques en la naturaleza, tanto desde la perspectiva externa como interna.

Fuentes: