Los ataques de LockBit 2.0 ransomware aumentan en todo el mundo
Los investigadores de seguridad han detectado un aumento de los ataques que utilizan la última versión del ransomware LockBit, con nuevas víctimas en América del Sur, Asia y Europa.
Anteriormente cubrimos el ataque LockBit 2.0 que apuntó con éxito a la gran empresa consultora Accenture, con actores de amenazas que supuestamente pidieron $ 50 millones en rescate, según algunos analistas, y supuestamente robaron alrededor de 6 TB de datos confidenciales de Accenture. La empresa de consultoría declaró que no hubo un impacto significativo del ataque, los sistemas se bloquearon rápidamente y el impacto fue mínimo, con datos restaurados con éxito a partir de copias de seguridad.
Los nuevos ataques se producen a raíz del rescate de Accenture. Los investigadores informan sobre ataques a entidades ubicadas en Taiwán, Reino Unido y Chile. Según los informes, la nueva versión del ransomware utiliza un cifrado mejorado de múltiples subprocesos, que cuenta con uno de los métodos de cifrado más rápidos en el campo. También parece que LockBit 2.0 solo encripta una parte muy pequeña de cada archivo que codifica, con solo una porción de 4 kilobytes de cada archivo que se encripta, lo que acelera el proceso de manera significativa.
El actor de amenazas detrás de LockBit también está experimentando con nuevas tácticas de ingeniería social. Los piratas informáticos están tratando de comunicarse con los empleados de la empresa y sobornarlos para que cooperen. Hay informes de malware que cambia los fondos de pantalla de los empleados, pagos publicitarios de millones de dólares por credenciales de trabajo que permitirán a los piratas informáticos infiltrarse en la organización objetivo.
Una vez que LockBit 2.0 encuentra su camino en una red, tiene un variado arsenal de herramientas a su disposición. Hay un escáner de red que identifica a los controladores de dominio, así como una variedad de archivos .bat que incluyen la automatización para una gran cantidad de tareas, incluida la habilitación de RDP, el cierre de cualquier software antimalware o de seguridad y la limpieza de los registros de eventos para minimizar el malware. huella.
Después de establecer sus rutinas básicas, LockBit comienza a moverse lateralmente a través de la red de la víctima, comenzando con el envío de nuevas políticas de grupo a los dispositivos conectados. Esas políticas se encargan de apagar Windows Defender y luego distribuir y ejecutar la carga útil en cada dispositivo Windows encontrado.
Una vez que se realiza el cifrado, la imagen del escritorio se reemplaza con el mensaje de reclutamiento descrito anteriormente, las instrucciones de rescate habituales y la amenaza de que los archivos ya cifrados pueden ser liberados al público en caso de que no se pague el rescate.
Los investigadores también han detectado algunas similitudes en los comportamientos de LockBit 2.0 y otras cepas de ransomware infames como Ryuk y Egregor, lo que indica al menos una superposición parcial de código.
