Análisis de malware

Análisis del ransomware LockBit 3.0

14 de septiembre de por Pedro Tavares

LockBit ha sido una de las piezas de ransomware más populares y peligrosas desde. El grupo detrás de la amenaza suele atacar infraestructuras críticas, como los sistemas de salud, incluidos los hospitales.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Descripción general de LockBit 2.0

Si observamos el sitio web de LockBit 2.0, más de 850 víctimas se vieron afectadas en por este ransomware, una clara señal del daño y el impacto causado por los operadores de LockBit durante sus salvajes campañas. Los delincuentes afirman que dañaron al menos 12.125 empresas durante la versión LockBit 2.0, como se ve a continuación.

1: Total de empresas comprometidas según la versión LockBit 2.0.

Según la publicación PaloAlto , EE.UU., Italia, Alemania, Canadá y Francia son los cinco países más afectados por las campañas de LockBit 2.0, y los delincuentes causan un enorme impacto global.

2: Los 10 principales países afectados por LockBit 2.0 ( fuente ).

Lanzamiento de LockBit 3.0

Con la introducción de la nueva versión del ransomware LockBit (versión 3.0), se implementaron capacidades importantes, incluido un programa de recompensas por errores y pagos Zcash.

Aunque no hay cifras oficiales sobre incidentes relacionados con esta nueva versión, los delincuentes decidieron en junio cambiar a LockBit 3.0, y algunas víctimas se pueden encontrar en el sitio web del grupo.

3: Víctimas de LockBit 3.0.

Las notas del ransomware ya no se denominan ” Restore-My-Files.txt “, sino que se trasladaron a un nuevo formato: [id].README.txt , como se presenta a continuación.

4: Nota de ransomware de la versión LockBit 3.0.

Además, los delincuentes introducen un nuevo fondo de escritorio en esta nueva versión, como se muestra en la 5.

Fondo de escritorio LockBit 2.0 ( fuente )

Fondo de escritorio LockBit 3.0

5: Diferencias entre el fondo de pantalla de escritorio LockBit 2.0 y 3.0.

Capacidades notables introducidas en la versión 3.0

Los operadores de LockBit 3.0 introdujeron muchas capacidades nuevas en esta versión 3.0, que incluyen:

• Mecanismos antidetección para evadir los sistemas AV y EDR
• LockBit 3.0 se basa en un “token de acceso” que se proporciona como parámetro durante la ejecución
• También se introdujo una opción de línea de comando con posibles parámetros.
• La nueva versión es más evasiva y rápida que las versiones anteriores, según los expertos en malware
• Se agregó una nueva característica anti-depuración
• También está presente un mecanismo para deshabilitar Windows Defender y moderar los registros de eventos de Windows.

Después de ejecutarse, LockBit 3.0 intenta deshabilitar Windows Defender para evitar su detección, como se mencionó anteriormente.

6: LockBit 3.0 desactiva Windows Defender durante su ejecución.

Dentro de algunas características observadas, los delincuentes también introdujeron un error en el programa de recompensas. Este es el primer programa de recompensas por errores lanzado por un grupo de ransomware que anima a los investigadores a enviar informes de seguridad para obtener recompensas que oscilan entre 1.000 y 1 millón de dólares.

” Invitamos a todos los investigadores de seguridad y hackers éticos y no éticos del planeta a participar en nuestro programa de recompensas por errores. El monto de la remuneración varía entre 1.000 dólares y 1 millón de dólares. “

7: Programa de recompensas por errores ofrecido por los operadores de LockBit.

La banda de ransomware también recompensará las “ideas brillantes” para mejorar sus operaciones. Como era de esperar, este programa de recompensas por errores difiere de los programas tradicionales y legítimos. Las categorías disponibles se presentan a continuación.

• Errores del sitio web: vulnerabilidades XSS, inyecciones de MySQL, acceso a un shell para el sitio y más, se pagarán dependiendo de la gravedad del error. La dirección principal es obtener un descifrador a través del sitio web del error y acceder al historial de correspondencia con empresas cifradas.
• Errores de casilleros: cualquier error durante el cifrado por parte de casilleros que conduzca a archivos corruptos o la posibilidad de descifrar archivos sin un descifrador.
• Ideas brillantes: Pagamos por las ideas; escríbanos sobre cómo mejorar nuestro sitio y software; las mejores ideas serán pagadas. ¿Qué tienen de interesante nuestros competidores que nosotros no tenemos?
• Doxing: Pagamos exactamente 1 millón de dólares, ni más ni menos, por doxear al jefe del programa de afiliados. Si eres un agente del FBI o un hacker muy inteligente que sabe cómo encontrar a alguien, puedes escribirnos un mensajero TOX, darnos el nombre de tu jefe y obtener $1 millón en bitcoin o monero.
• TOX messenger: Vulnerabilidades de TOX messenger que le permiten interceptar correspondencia, ejecutar malware, determinar la dirección IP del interlocutor y otras vulnerabilidades interesantes.
• Red Tor: cualquier vulnerabilidad que ayude a obtener la dirección IP del servidor donde está instalado el sitio en el dominio cebolla, así como a obtener acceso raíz a nuestros servidores, seguido de un volcado de base de datos y dominios cebolla.

8: Categorías de recompensas por errores presentes en el sitio web de LockBit 3.0.

La incorporación de Zcash como opción de pago es otra de las novedades presentes en esta nueva versión. En detalle, Zcash es una moneda de privacidad, lo que dificulta su seguimiento y es el método de pago perfecto para fines ilegales.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Medidas de prevención

Aunque no existe una fórmula mágica para detener el ransomware en general, podemos ofrecer una serie de pasos para reducir el riesgo de un incidente de esta naturaleza.

• Cree copias de seguridad fuera de línea y mantenga copias de seguridad y restauración con frecuencia. Pruebe el procedimiento periódicamente.
• Cree una arquitectura de confianza cero con segregación de VLAN para aislar la DMZ de activos valiosos y dificultar el movimiento lateral.
• Implementar mecanismos de autenticación multifactor local y en línea/en la nube
• Aplique la política de contraseñas a un modelo sólido y complejo (por ejemplo, más de 10 caracteres como mínimo).
• Utilice servicios de punto final como EDR y AV.
• Elimine el acceso innecesario a recursos compartidos administrativos en la red interna.
• Tenga cuidado con RDP expuesto a Internet.
• Utilice archivos/tokens canary para detectar ransomware de forma temprana.

Finalmente, sea proactivo y realice evaluaciones de ciberseguridad para encontrar y mitigar debilidades para prevenir ataques en la naturaleza, tanto desde la perspectiva externa como interna.

Fuentes:

• LockBit 2.0 , Palo Alto
• LockBit 3.0 , BleepingComputer
• Análisis de malware LockBit , Segurança-Informática