Cómo protegerse de la nueva versión del ransomware LockBit 3.0
LockBit, un ransomware malicioso utilizado para bloquear el acceso de los usuarios a los sistemas informáticos y pedir, después, el pago de un rescate, no ha dejado de evolucionar.
De hecho, LockBit se transformó en un programa de afiliados de RaaS, un modelo comercial basado en suscripción que permite a los ciberdelincuentes comprar ransomware estándar de los desarrolladores, que ganan un porcentaje de cada rescate. Tras el lanzamiento de LockBit 3.0 (también conocido como LockBit Black) en junio de este año, bajo el eslogan “Make Ransomware Great Again”, y de ser responsable del 40% de todos los ataques de ransomware analizados en mayo de 2022, la última versión se ha hecho famosa por explotar la vulnerabilidad Log4j y aprovecharse de un popular sistema antivirus para evadir la detección.
Pero, ¿qué es lo más destacable de LockBit 3.0 y de su actividad?
Con el objetivo de ayudar a las organizaciones a fortalecer las defensas contra ransomware, un reciente análisis de CyberArk Labs destaca tres características de LockBit 3.0 a tener en cuenta:
• Es un programa de recompensas de errores único en su clase. En marzo de 2022, los investigadores de Microsoft publicaron un informe sobre errores críticos en LockBit 2.0, lo que contribuyó a la aparición de la versión 3.0. Con un programa de recompensas por errores, el grupo LockBit está trabajando para controlar sus propias vulnerabilidades de malware y evitar que los investigadores reviertan el impacto del ransomware.
• Cuenta con protecciones anti-análisis. Uno de los cambios más significativos fue la introducción de un código de acceso único para cada muestra de LockBit 3.0. Sin el código de acceso, la muestra no se ejecutará, de tal manera que no es posible analizar el malware de forma dinámica sin una contraseña. Unas medidas contra el análisis que se están convirtiendo en una potencial tendencia, por lo que los investigadores prevén que pronto puedan ser adoptadas por otros grupos de ransomware.
• Nuevas técnicas de living off the land (LotL) que convierten en armas cualquier herramienta crítica de seguridad. Recientes informes señalan que los actores de LockBit 3.0 obtienen acceso inicial a través de la vulnerabilidad Log4j, empleando nuevas tácticas para armar herramientas de seguridad legítimas que, a menudo, operan fuera de los controles de seguridad instalados y evaden la detección por EDR y las herramientas antivirus tradicionales.
Estas revelaciones enfatizan la necesidad de controles y políticas de detección de amenazas que ayuden a identificar y bloquear actividades sospechosas que pueden estar vinculadas a Log4j u otras vulnerabilidades críticas de inmediato. Por ejemplo, configurar políticas para detectar y bloquear instancias de java.exe que se utilizan como proceso principal para cmd.exe o powershell.exe es una forma de bloquear Log4j potencial, ya que es muy poco probable que java.exe inicie estos procesos en un escenario legítimo. Además, el control continuo de todos los programas iniciados y en ejecución, así como sus privilegios asociados, agregará una fricción significativa para los atacantes si intentan lanzar una carga útil de ransomware, alterar los controles de seguridad y recuperación, o intentar encadenar vulnerabilidades.
¿Por qué la protección contra ransomware requiere una defensa en profundidad?
Como lo está demostrando LockBit 3.0, cada versión es una oportunidad para cambiar el juego y los ciberdelincuentes de ransomware seguirán evolucionando en sus enfoques y sus ataques.
Por ello, una protección eficaz contra el ransomware implica bloquear el endpoint y evitar que el malware siga expandiéndose a cada paso en la cadena de ataque, pero nunca a expensas del usuario final. Adoptar un conjunto correcto de defensas de múltiples capas, incluidos los controles de seguridad de endpoints, puede ayudar a conseguir un equilibrio entre la seguridad y la productividad. A la vez que se protegen los endpoints mientras se automatizan las elevaciones de privilegios para los usuarios finales, de manera transparente, con el objetivo de desmantelar la cadena de ataque.
