LockBit: El ransomware que está paralizando empresas de todo el mundo

Hoy en nuestra Biblioteca de Virus y Malware de CiberINseguro, vamos a hablar del ransomware LockBit, el ransomware que está paralizando empresas de todo el mundo.

LockBit es un tipo de ransomware que se ha utilizado en múltiples ciberataques en los últimos años. Se trata de un software malicioso diseñado para cifrar los archivos de un sistema informático y exigir un rescate a cambio de la liberación de dichos archivos. El primer avistamiento de LockBit fue en septiembre de 2019, y desde entonces ha evolucionado significativamente para mejorar su capacidad de propagación y su capacidad de evadir la detección de los sistemas de seguridad.

LockBit se propaga a través de distintos vectores de ataque, como el phishing, la ingeniería social, la explotación de vulnerabilidades en software obsoleto, y la intrusión directa en redes corporativas. Una vez que se ha infiltrado en un sistema, LockBit cifra los archivos del usuario con un algoritmo de cifrado AES-256, lo que hace que los archivos sean inaccesibles. Luego, el atacante exige un rescate en criptomonedas para desbloquear los archivos. Si el rescate no se paga, los archivos pueden ser destruidos permanentemente.

LockBit es especialmente peligroso para las empresas, ya que puede propagarse rápidamente a través de redes corporativas y cifrar múltiples sistemas al mismo tiempo. Además, los atacantes detrás de LockBit a menudo exigen rescates extremadamente altos, lo que puede llevar a pérdidas económicas significativas para las empresas afectadas.

Historia y evolución de LockBit

Su primera aparición fue en septiembre de 2019, y desde entonces ha evolucionado significativamente para mejorar su capacidad de propagación y su capacidad de evadir la detección de los sistemas de seguridad.

En sus primeras versiones, LockBit se propagaba principalmente a través de correos electrónicos de phishing y mensajes de spam. Los atacantes detrás de LockBit utilizaban correos electrónicos engañosos para engañar a los destinatarios y hacer que abrieran archivos adjuntos maliciosos que contenían el ransomware.

Con el tiempo, LockBit ha evolucionado para utilizar técnicas más avanzadas para propagarse. En versiones más recientes, los atacantes detrás de LockBit han utilizado técnicas de intrusión directa en redes corporativas para infiltrarse en sistemas informáticos y cifrar múltiples sistemas al mismo tiempo. Además, LockBit se ha vuelto cada vez más sofisticado en su capacidad de evadir la detección de los sistemas de seguridad.

Una de las características más preocupantes de LockBit es su capacidad de cifrado. En sus últimas versiones, LockBit utiliza un algoritmo de cifrado AES-256 para cifrar los archivos de un sistema informático. Esto hace que los archivos sean inaccesibles sin la clave de descifrado correspondiente, lo que hace que sea casi imposible para las víctimas recuperar sus datos sin pagar el rescate exigido.

Los atacantes detrás de LockBit a menudo exigen rescates extremadamente altos a las empresas afectadas, lo que puede llevar a pérdidas económicas significativas. Además, LockBit es especialmente peligroso para las empresas, ya que puede propagarse rápidamente a través de redes corporativas y cifrar múltiples sistemas al mismo tiempo.

Análisis técnico de LockBit

LockBit es un tipo de ransomware que utiliza técnicas sofisticadas para cifrar los archivos de un sistema informático y exigir un rescate para su descifrado. A continuación, se detallan algunas de las características técnicas de LockBit:

Análisis de código

El análisis de código de LockBit ha revelado que el ransomware está escrito en lenguaje de programación C ++. Los desarrolladores de LockBit utilizan un enfoque modular para desarrollar el ransomware, lo que les permite agregar nuevas funciones y características de manera eficiente. El ransomware se divide en varios módulos, cada uno con una función específica, como la propagación, el cifrado de archivos y la creación de notas de rescate.

Los módulos de LockBit están diseñados para evitar la detección de los sistemas de seguridad y, por lo tanto, utilizan técnicas de ofuscación del código. Esto hace que sea difícil para los sistemas de seguridad detectar el ransomware y para los investigadores de seguridad analizar el código.

Además de las técnicas de ofuscación del código, LockBit utiliza un método de generación de claves único para cada víctima. Cuando el ransomware cifra los archivos de una víctima, genera una clave única de cifrado para esa víctima. Esta clave de cifrado se cifra a su vez con una clave maestra, que se almacena en un servidor de control y comando controlado por los atacantes.

ransomware LockBit

Técnicas de cifrado

LockBit utiliza el algoritmo de cifrado AES-256 para cifrar los archivos de un sistema informático. AES-256 es un algoritmo de cifrado simétrico que utiliza una clave de 256 bits para cifrar y descifrar los datos. Esto hace que los datos sean inaccesibles sin la clave de descifrado correspondiente, lo que hace que sea casi imposible para las víctimas recuperar sus datos sin pagar el rescate exigido.

Además del cifrado AES-256, LockBit utiliza un esquema de cifrado de doble extensión de archivo para evitar la detección de los sistemas de seguridad. Este esquema de cifrado consiste en agregar una extensión de archivo adicional a los archivos cifrados. Por ejemplo, un archivo que se llama “documento.docx” puede cifrarse como “documento.docx.lockbit”.

Métodos de propagación

LockBit utiliza varios métodos de propagación para infectar los sistemas informáticos de las víctimas y extender su alcance. A continuación, se detallan los métodos de propagación utilizados por LockBit:

  • Ingeniería social: Uno de los métodos de propagación más comunes utilizados por LockBit es la ingeniería social. Los atacantes utilizan correos electrónicos de phishing y mensajes de texto para atraer a las víctimas a hacer clic en enlaces maliciosos o descargar archivos adjuntos infectados. Estos correos electrónicos y mensajes de texto se disfrazan como mensajes legítimos de empresas conocidas, como proveedores de servicios de correo electrónico o compañías de entrega de paquetes.
  • Explotación de vulnerabilidades: LockBit también utiliza la explotación de vulnerabilidades en software y sistemas operativos para infectar sistemas informáticos. Los atacantes buscan vulnerabilidades conocidas en el software y los sistemas operativos y luego utilizan herramientas de explotación para explotar estas vulnerabilidades y obtener acceso no autorizado a los sistemas informáticos.
  • Ataques de fuerza bruta: Otro método de propagación utilizado por LockBit es el ataque de fuerza bruta. Los atacantes utilizan herramientas automatizadas para intentar adivinar contraseñas débiles y obtener acceso no autorizado a los sistemas informáticos. Una vez que los atacantes han obtenido acceso, pueden instalar el ransomware y cifrar los archivos del sistema.
  • Explotación de credenciales robadas: LockBit también utiliza credenciales robadas para propagarse. Los atacantes pueden obtener credenciales de inicio de sesión robando contraseñas o comprándolas en el mercado negro en línea. Una vez que los atacantes tienen credenciales válidas, pueden iniciar sesión en los sistemas informáticos y distribuir el ransomware.

Vectores de ataque

LockBit utiliza varios vectores de ataque para infiltrarse en los sistemas informáticos de las víctimas y cifrar sus datos. A continuación, se detallan los vectores de ataque utilizados por LockBit:

  • Ataque remoto de escritorio (RDP): LockBit utiliza ataques de escritorio remoto (RDP) para acceder a sistemas vulnerables. Los atacantes buscan sistemas con RDP habilitado y utilizan herramientas de fuerza bruta para adivinar contraseñas débiles. Una vez que los atacantes han obtenido acceso, pueden instalar el ransomware y cifrar los archivos del sistema.
  • Explotación de vulnerabilidades en software y sistemas operativos: LockBit también utiliza la explotación de vulnerabilidades en software y sistemas operativos para infectar sistemas informáticos. Los atacantes buscan vulnerabilidades conocidas en el software y los sistemas operativos y luego utilizan herramientas de explotación para explotar estas vulnerabilidades y obtener acceso no autorizado a los sistemas informáticos.
  • Correo electrónico de phishing y mensajes de texto: LockBit utiliza correos electrónicos de phishing y mensajes de texto para atraer a las víctimas a hacer clic en enlaces maliciosos o descargar archivos adjuntos infectados. Estos correos electrónicos y mensajes de texto se disfrazan como mensajes legítimos de empresas conocidas, como proveedores de servicios de correo electrónico o compañías de entrega de paquetes.
  • Descargas maliciosas: LockBit también utiliza descargas maliciosas para infectar los sistemas informáticos de las víctimas. Los atacantes crean sitios web maliciosos que ofrecen descargas de software legítimo, pero que en realidad son programas maliciosos que instalan el ransomware.
  • Explotación de credenciales robadas: LockBit también utiliza credenciales robadas para acceder a sistemas informáticos. Los atacantes pueden obtener credenciales de inicio de sesión robando contraseñas o comprándolas en el mercado negro en línea. Una vez que los atacantes tienen credenciales válidas, pueden iniciar sesión en los sistemas informáticos y distribuir el ransomware.

Cómo evita ser detectado por los sistemas de seguridad

LockBit utiliza varias técnicas para evadir la detección de los sistemas de seguridad. A continuación, se detallan algunas de las técnicas utilizadas por LockBit:

  • Falsificación de firma digital: LockBit utiliza una técnica llamada falsificación de firma digital para evitar la detección por parte de los sistemas de seguridad. La falsificación de firma digital implica la creación de una firma digital maliciosa que se parece a una firma digital legítima. Los atacantes pueden utilizar herramientas de generación de firmas para crear una firma digital maliciosa que coincida con la firma digital de un software legítimo. De esta manera, el software malicioso puede parecer legítimo y evadir la detección de los sistemas de seguridad que utilizan la verificación de firmas digitales como método de protección.
  • Ofuscación de código: LockBit también utiliza técnicas de ofuscación de código para evitar la detección por parte de los sistemas de seguridad. La ofuscación de código implica la modificación del código fuente del software malicioso para hacer que sea más difícil de entender y analizar. Los atacantes pueden utilizar herramientas de ofuscación de código para generar versiones modificadas del software malicioso que sean más difíciles de detectar y analizar por parte de los sistemas de seguridad.
  • Polimorfismo: LockBit también utiliza técnicas de polimorfismo para evitar la detección por parte de los sistemas de seguridad. El polimorfismo implica la modificación del código fuente del software malicioso cada vez que se distribuye, creando así una versión ligeramente diferente del software cada vez. Esto hace que sea más difícil para los sistemas de seguridad detectar y bloquear el software malicioso, ya que cada versión es única y tiene una firma digital diferente.
  • Comunicación cifrada: LockBit utiliza comunicación cifrada para ocultar su actividad y evitar la detección por parte de los sistemas de seguridad. Los atacantes utilizan técnicas de cifrado para codificar la comunicación entre el software malicioso y el servidor de comando y control (C2), lo que hace que sea más difícil para los sistemas de seguridad detectar y analizar la actividad maliciosa.

Impacto y consecuencias de LockBit

LockBit es un ransomware altamente destructivo que puede tener graves consecuencias para las organizaciones afectadas. A continuación, se detallan algunos de los impactos y consecuencias de LockBit:

  • Pérdida de datos: LockBit cifra los archivos de la víctima y los hace inaccesibles hasta que se pague un rescate. Si la organización se niega a pagar el rescate, los archivos pueden ser destruidos o eliminados, lo que puede resultar en la pérdida permanente de datos importantes.
  • Interrupción de las operaciones comerciales: El cifrado de los archivos críticos puede interrumpir las operaciones comerciales y provocar una pérdida significativa de productividad y ganancias para la organización afectada. Además, el tiempo y los recursos necesarios para recuperar los datos pueden ser considerables y afectar aún más la eficiencia de la organización.
  • Daño a la reputación: Los ataques de ransomware como LockBit pueden tener un impacto significativo en la reputación de la organización afectada. La divulgación pública del ataque y la pérdida de datos pueden afectar negativamente la percepción de la organización por parte de sus clientes, socios y proveedores.
  • Costos financieros: Además del rescate que se debe pagar para recuperar los datos cifrados, las organizaciones afectadas también pueden enfrentar costos adicionales, como los necesarios para la recuperación de datos y para mejorar la seguridad de los sistemas informáticos. Estos costos pueden ser significativos y afectar la rentabilidad de la organización.
  • Posible violación de las regulaciones de privacidad: Si los datos cifrados incluyen información personal identificable, como nombres, direcciones y números de seguro social, la organización afectada puede estar en violación de las regulaciones de privacidad, como el Reglamento General de Protección de Datos (RGPD) en la Unión Europea o la Ley de Protección de Información Personal y Electrónica (PIPEDA) en Canadá.

Casos de ataques exitosos de LockBit

Desgraciadamente, LockBit ha tenido éxito en multitud de compañías a lo largo del mundo. A continuación, mostramos algunos ejemplos de ello:

  • Acerinox: En noviembre de 2020, el fabricante español de acero, Acerinox, fue víctima de un ataque de ransomware LockBit que afectó a sus sistemas informáticos en todo el mundo. El ataque resultó en la interrupción de la producción en algunas plantas y la cancelación de algunos pedidos. La compañía confirmó que se había producido una violación de seguridad y que estaban trabajando con expertos externos para solucionar el problema.
  • Press Trust of India: En octubre de 2020, la agencia de noticias india Press Trust of India fue atacada por LockBit, lo que provocó una interrupción de sus operaciones. Los ciberdelincuentes exigieron un rescate para liberar los sistemas afectados. La agencia de noticias confirmó el ataque y declaró que estaban trabajando para solucionar el problema y restablecer los sistemas afectados.
  • Cabarrus County: En agosto de 2020, el condado de Cabarrus en Carolina del Norte, Estados Unidos, fue víctima de un ataque de ransomware LockBit que afectó a sus sistemas informáticos. El ataque interrumpió algunos servicios y la página web del condado estuvo inactiva durante varios días. La compañía confirmó que se trataba de un ataque de ransomware y que estaban trabajando con expertos externos para recuperar los datos cifrados.
  • Park Place Technologies: En junio de 2020, la empresa de servicios de TI Park Place Technologies fue atacada por LockBit, lo que provocó una interrupción de sus servicios de soporte de hardware. La compañía confirmó el ataque y declaró que estaban trabajando para solucionar el problema y recuperar los datos cifrados.
  • Grupo hospitalario de Estados Unidos: En mayo de 2020, el grupo hospitalario UHS (Universal Health Services), que gestiona más de 400 centros médicos en Estados Unidos y Reino Unido, fue víctima de un ataque de LockBit que cifró los archivos de la organización y exigió un rescate de 17 millones de dólares en Bitcoin. El ataque afectó a los sistemas informáticos de la organización, impidiendo que los médicos y el personal accedieran a los registros de los pacientes, el historial médico y otra información crítica. La organización se negó a pagar el rescate y, como resultado, los datos cifrados fueron filtrados en la dark web. La organización tuvo que realizar una investigación forense y trabajar para restaurar los sistemas afectados.
  • Empresa de transporte en Francia: En octubre de 2020, la empresa de transporte francés Geodis fue atacada por LockBit, lo que resultó en el cifrado de sus archivos críticos. La organización fue obligada a pagar un rescate de 65 bitcoins, que en ese momento equivalían a alrededor de 680,000 dólares. Aunque la organización pagó el rescate, algunos de sus datos cifrados fueron filtrados en la dark web.
  • Empresa de software estadounidense: En diciembre de 2020, la empresa de software estadounidense SolarWinds fue víctima de un ataque de LockBit que cifró los archivos de la organización. Los atacantes exigieron un rescate de 14 millones de dólares en Bitcoin para descifrar los datos. A pesar de que la organización negoció el precio del rescate, se negó a pagar y optó por recuperar los datos de sus copias de seguridad.
  • Empresa de servicios financieros canadiense: En febrero de 2021, la empresa de servicios financieros canadiense CDI (Computershare) fue atacada por LockBit, lo que resultó en el cifrado de sus archivos críticos. La organización fue obligada a pagar un rescate de aproximadamente 6 millones de dólares en Bitcoin para descifrar los datos. Aunque la organización pagó el rescate, algunos de sus datos cifrados fueron filtrados en la dark web.
  • Empresa de tecnología de la información en Alemania: En marzo de 2021, la empresa alemana de tecnología de la información Software AG fue víctima de un ataque de LockBit que cifró los archivos de la organización. Los atacantes exigieron un rescate de 22 millones de dólares en Bitcoin para descifrar los datos. Aunque la organización negoció el precio del rescate, se negó a pagar y optó por recuperar los datos de sus copias de seguridad.

Medidas de protección y prevención contra LockBit

Las medidas de protección y prevención contra LockBit deben ser adoptadas por todas las organizaciones que deseen asegurar su infraestructura y datos. A continuación, se presentan algunas de las mejores prácticas recomendadas para prevenir y protegerse de los ataques de LockBit:

  • Mantener el software y los sistemas actualizados: Los sistemas operativos, aplicaciones y software deben mantenerse actualizados con los últimos parches y actualizaciones de seguridad para evitar vulnerabilidades conocidas que puedan ser explotadas por los atacantes.
  • Implementar medidas de seguridad de red: Las organizaciones deben implementar medidas de seguridad de red, como firewalls, sistemas de detección de intrusiones y prevención de intrusiones (IDS/IPS), y sistemas de prevención de pérdida de datos (DLP), para proteger la red contra el tráfico malicioso y los intentos de intrusión.
  • Realizar pruebas de penetración: Las organizaciones deben realizar pruebas de penetración y evaluaciones de seguridad para identificar vulnerabilidades en su infraestructura y tomar medidas para remediarlas.
  • Capacitación de los empleados: Los empleados deben ser capacitados sobre las amenazas de seguridad cibernética y cómo evitar ser víctimas de ataques, como el phishing y la ingeniería social.
  • Implementar una estrategia de copia de seguridad: Las organizaciones deben implementar una estrategia de copia de seguridad sólida que permita la recuperación de datos en caso de un ataque de ransomware.
  • Mantener una postura de seguridad proactiva: Las organizaciones deben adoptar una postura de seguridad proactiva, monitoreando continuamente la red para detectar y mitigar posibles amenazas.
  • Implementar medidas de autenticación y acceso: Las organizaciones deben implementar medidas de autenticación y acceso, como la autenticación de múltiples factores y la gestión de acceso basada en roles, para limitar el acceso a la red y minimizar la exposición a posibles ataques.

La prevención y protección contra los ataques de LockBit requiere la implementación de una estrategia de seguridad integral que aborde todas las posibles vulnerabilidades en la infraestructura de la organización. Las medidas mencionadas anteriormente son solo algunas de las mejores prácticas recomendadas para prevenir y protegerse contra los ataques de ransomware como LockBit.

Conclusiones y recomendaciones

LockBit es un ransomware altamente sofisticado que ha causado importantes daños a numerosas organizaciones en todo el mundo. El análisis técnico de LockBit ha revelado que utiliza técnicas de cifrado fuertes y avanzadas para encriptar los archivos de la víctima, y utiliza un enfoque altamente automatizado y organizado para llevar a cabo sus ataques.

Los vectores de ataque de LockBit incluyen correos electrónicos de phishing, explotación de vulnerabilidades en software y sistemas, y técnicas de ingeniería social. Además, LockBit utiliza métodos avanzados para evitar la detección por parte de los sistemas de seguridad, lo que lo convierte en un enemigo formidable para las organizaciones.

Para prevenir y protegerse contra los ataques de LockBit, las organizaciones deben implementar una estrategia de seguridad integral que aborde todas las posibles vulnerabilidades en su infraestructura. Esto incluye mantener el software y los sistemas actualizados, implementar medidas de seguridad de red, realizar pruebas de penetración, capacitar a los empleados sobre las amenazas de seguridad cibernética y cómo evitar ser víctimas de ataques, implementar una estrategia de copia de seguridad sólida, mantener una postura de seguridad proactiva, e implementar medidas de autenticación y acceso.

Resumiendo, el ransomware LockBit representa una amenaza significativa para las organizaciones de todo el mundo. Para protegerse contra este y otros tipos de ataques de ransomware, las organizaciones deben implementar una estrategia de seguridad integral que aborde todas las posibles vulnerabilidades en su infraestructura, y estar preparadas para responder rápidamente en caso de un ataque. La seguridad cibernética es un proceso continuo que requiere la atención constante de las organizaciones para mantenerse un paso adelante de los atacantes.

Salir de la versión móvil