El grupo cibercriminal LockBit ha demostrado que sigue presente y representa una amenaza significativa para las organizaciones.
Tras un reciente incidente, los expertos de Kaspersky han alertado sobre una nueva variante del ransomware que utiliza técnicas avanzadas para propagarse y evadir la detección.
La empresa de ciberseguridad explicó en un informe que, ahora, LockBit es capaz de propagarse automáticamente y suplantar identidades dentro de las redes corporativas. Este descubrimiento se da luego de detectar un incidente en Guinea-Bisáu.
LockBit, una amenaza en constante mutación
El incidente en África Occidental reveló una variante personalizada de LockBit que utiliza técnicas no observadas anteriormente. Esta nueva versión del ransomware es capaz de generar un efecto de avalancha incontrolable, donde los hosts infectados intentan propagar el malware dentro de la red de la víctima.
Si bien la variante con capacidad de autopropagación y suplantación de identidad parece ser más reciente, Kaspersky ha detectado incidentes similares en otras regiones, como Chile, Rusia e Italia, utilizando versiones de LockBit 3.0 sin estas funcionalidades. La posibilidad de que estas técnicas se sigan expandiendo a otras geografías es latente.
Análisis de las tácticas
Para entender un poco más del nivel de extensión de esta nueva variante de ciberataque, Kaspersky ofrece en el informe un análisis de sobre el modo de acción del ransomware y así facilitar su detección. Los puntos más destacados son los siguientes:
-
Suplantación de identidad: Los atacantes aprovechan credenciales robadas para hacerse pasar por administradores de sistemas con privilegios elevados, lo que les facilita la ejecución del ataque y el acceso a áreas críticas de la infraestructura.
-
Autopropagación: El malware personalizado se propaga de forma autónoma a través de la red utilizando credenciales de dominio privilegiadas. Puede desactivar las defensas del sistema, cifrar recursos compartidos y borrar registros de eventos para ocultar sus acciones.
-
Funcionalidades adaptativas: Los archivos de configuración personalizados permiten que el malware se adapte a la arquitectura específica de la empresa objetivo. Los atacantes pueden configurar el ransomware para cifrar tipos de archivos específicos o sistemas determinados.
Recomendaciones para la defensa contra el LockBit
Las soluciones en ciberseguridad son las principales herramientas para lograr detectar y mitigar los efectos de estos malwares en los sistemas empresariales, siempre y cuando se apliquen las más adecuadas para cada problema.
En el caso del LockBit, una buena manera de evitar y mitigar sus efectos es implementar un programa de copias de seguridad frecuentes y realizar pruebas regulares. Además, el conservar las copias de archivos cifrados en caso de no existir un decodificador disponible, es una buena opción, ya que podrían surgir soluciones en el futuro.
También, el utilizar una solución de seguridad robusta como Kaspersky Endpoint Security y considerar servicios de Managed Detection and Response (MDR) y reducir la superficie de ataque deshabilitando servicios y puertos no utilizados, también son buenas opciones de soluciones.
Otros puntos importantes para evitar estos problemas es mantener los sistemas y software actualizados para aplicar parches de seguridad, y realizar pruebas de penetración y escaneos de vulnerabilidades de forma regular.
La implementación de medidas de seguridad sólidas, la concienciación sobre ciberseguridad y la adopción de prácticas de respaldo robustas son fundamentales para protegerse de este tipo de ataques cada vez más sofisticados.