LockBit: El Explosivo Ascenso del Ransomware as a Service (RaaS) y su impacto global
Lockbit: el explosivo ascenso del Ransomware as a Service (RaaS) y su impacto global
05/09/2023
LockBit (Ransomware as a Service – RaaS) ha comprometido a grandes y pequeñas organizaciones en todo el mundo desde su aparición a finales de 2019. Con su aparición a finales de 2019, no ha dejado de crecer en popularidad al punto que fue el grupo de ransomware y proveedor de RaaS más activo durante el 2022, de acuerdo al número de víctimas declaradas en su sitio.
Hasta mayo de 2023, se ha atribuido la responsabilidad de 76 ataques, y en total, el grupo ha admitido estar detrás de al menos 1.653 incidentes de ransomware.
Pero, ¿Qué es lo que realmente lo ha convertido en un fenómeno popular y peligroso?.
LockBit ha alcanzado el éxito gracias a su constante innovación y desarrollo continuo del panel administrativo del grupo, así como de las funciones de apoyo RaaS.
Es importante destacar que el grupo de Ransomware as a Service (RaaS) opera una variante específica de ransomware, ofreciendo acceso a esta variante a individuos o grupos de operadores, a menudo denominados “afiliados”.
Además, proporciona apoyo en el despliegue de su producto a cambio de un pago inicial, cuotas de suscripción, una parte de los beneficios, o una combinación de los anteriores.
Algunos de los métodos que LockBit ha utilizado para atraer con éxito a los criminales incluyen, entre otros:
Asegurar el pago permitiendo que estos reciban los fondos del rescate antes de enviar una parte al grupo principal. Esta estrategia contrasta fuertemente con otros grupos RaaS que se pagan a sí mismos primero y luego desembolsan la parte de los delincuentes.
Desprestigiar a otros grupos RaaS en foros en línea.
Participar en actividades publicitarias, como pagar a personas para que se hagan tatuajes de LockBit, y ofrecer una recompensa de un millón de dólares por información relacionada con la identidad real del líder de LockBit, quien utiliza el seudónimo “LockBitSupp”.
Desarrollar y mantener una interfaz simplificada de apuntar y hacer clic para su ransomware, haciéndolo accesible a quienes tienen un menor grado de conocimientos técnicos.
En definitiva, un producto potente y sencillo de usar sin demasiados conocimientos técnicos.
¿Cómo es el ciclo de vida de un incidente de ransomware?
A la hora de prevenir ataques de ransomware como los perpetrados por LockBit, es fundamental tener en cuenta las siguientes consideraciones:
De acuerdo con Cybersecurity and Infrastructure Security Agency (CISA).
– Tener desarrollada e implementada una política de contraseñas y control de acceso que mínimamente cumpla con los siguientes requisitos:
Imponer el uso de contraseñas que consistan en al menos 15 caracteres de longitud.
Impedir el uso de contraseñas de uso común o conocidas como comprometidas.
Implementar bloqueos de cuentas por múltiples intentos fallidos de inicio de sesión.
Desactivar las “pistas” de contraseña.
Abstenerse de exigir cambios de contraseña con una frecuencia superior a una o dos veces al año. (La guía del NIST sugiere favorecer contraseñas más largas en lugar de requerir cambios de contraseña regulares y frecuentes. Es más probable que los cambios frecuentes de contraseña hagan que los usuarios desarrollen “patrones” de contraseña que los ciberdelincuentes puedan descifrar fácilmente).
-Implementar MFA, en al menos todas las cuentas con privilegios de administrador.
Exigir credenciales de administrador para instalar software.
Implementar filtros a nivel de correo electrónico para identificar y detener los correos electrónicos con indicadores maliciosos conocidos, y bloquear las direcciones IP sospechosas en el Firewall.
Considerar añadir un banner de advertencia de correo electrónico externo para los correos electrónicos enviados o recibidos desde fuera de su organización.
Instalar un WAF y configurarlo con las reglas adecuadas para proteger los activos de la empresa.
Segmentar las redes para evitar la propagación del ransomware. La segmentación de la red puede ayudar a prevenir la propagación del ransomware controlando los flujos de tráfico entre -y el acceso a- varias subredes y restringiendo el movimiento lateral de los adversarios. Aislar las aplicaciones web para minimizar aún más la propagación del ransomware a través de una red.
Práctica de mínimos privilegios exigiendo a los administradores que utilicen cuentas administrativas para gestionar los sistemas y que utilicen cuentas de usuario simples para las tareas no administrativas.
Imponer la gestión y auditoría de cuentas de usuario con privilegios administrativos.
Configurar controles de acceso de acuerdo al principio de mínimo privilegio.
Activar controles de Geolocalización para accesos remotos.
Mantener actualizados todos los sistemas operativos, el software y el firmware. La aplicación oportuna de parches es una de las medidas más eficaces y rentables que puede tomar una organización para minimizar su exposición a las amenazas de ciberseguridad.
Restringir el acceso remoto de las cuentas de servicio a otros sistemas. Configurar la directiva de grupo para Denegar el inicio de sesión localmente. Denegar el inicio de sesión a través de Terminal Services y Denegar el acceso al equipo desde la red para todas las cuentas de servicio para limitar la posibilidad de que las cuentas de servicio comprometidas se utilicen para el movimiento lateral.
Consolidar, supervisar y defender las puertas de enlace de Internet.
Instalar, actualizar regularmente y habilitar la detección en tiempo real de software antivirus en todos los hosts.
Concientizar sobre las amenazas de phishing en su organización.
Revisar los servicios orientados a Internet y desactivar cualquier servicio que ya no sea un requisito de negocio para ser expuesto o restringir el acceso sólo a aquellos usuarios con un requisito explícito para acceder a los servicios, tales como SSL, VPN o RDP. Si se deben utilizar servicios orientados a Internet, controlar el acceso permitiendo únicamente el acceso desde un rango de IP de administración.
Revisar los controladores de dominio, servidores, estaciones de trabajo y directorios activos en busca de cuentas nuevas y/o no reconocidas.
Desarrollar y actualizar regularmente diagramas de red completos que describan los sistemas y flujos de datos dentro de la red o redes de su organización.
Verificar regularmente el nivel de seguridad del dominio de Active Directory comprobando si hay errores de configuración.
Controlar y restringir las conexiones de red en consecuencia con una matriz de flujo de red.
Habilitar el registro mejorado de PowerShell.
Asegúrese de que las instancias de PowerShell están configuradas para utilizar la última versión y de que tienen activados los registros de módulos, bloques de scripts y transcripciones (registro mejorado).
Configurar los Registros de Windows para requerir la aprobación UAC para cualquier operación de PsExec que requiera privilegios de administrador para reducir el riesgo de movimiento lateral por parte de PsExec.
Desactivar el uso de la línea de comandos y scripts.
Establecer una lista de aplicaciones permitidas.
Restringe el uso de NTLM con políticas de seguridad y firewall.
Deshabilitar los puertos no utilizados.
Aumentar el monitoreo de actividad sobre todos los activos críticos de la organización.
El acceso VPN no debe considerarse una zona de red de confianza. En su lugar, las organizaciones deberían plantearse pasar a arquitecturas de confianza cero.
Bloquear las conexiones a sistemas maliciosos conocidos.
Utilizar filtrado web con inspección de paquetes o un Cloud Access Security Broker (CASB) para restringir o supervisar el acceso a servicios públicos de intercambio de archivos que puedan utilizarse para filtrar datos de una red.
Implantar un plan de recuperación para mantener y conservar múltiples copias de datos y servidores sensibles o de propiedad exclusiva en una ubicación físicamente separada, segmentada y segura (por ejemplo, disco duro, dispositivo de almacenamiento, la nube).
Mantener copias de seguridad offline de los datos, y mantener regularmente las copias de seguridad y restauración (diaria o semanalmente como mínimo).
Asegurar que todos los datos de las copias de seguridad están encriptados, sean inmutables (es decir, no se pueden alterar ni borrar) y cubran toda la infraestructura crítica de la organización.
