LockBit 3.0: el ransomware más peligroso del momento

LockBit 3.0 es la tercera versión de un ransomware que apareció por primera vez en 2019 y que ha evolucionado para ser más rápido, sofisticado y letal. Según los expertos en seguridad, LockBit 3.0 se caracteriza por:

Utilizar un algoritmo de cifrado AES-256 muy rápido y eficiente, que permite cifrar los archivos de las víctimas en cuestión de minutos.
Aprovechar las vulnerabilidades de los Sistemas Operativos Windows y los protocolos de red SMB y RDP para propagarse por las redes corporativas sin necesidad de interacción humana.
Contar con un sistema de doble extorsión, que consiste en amenazar con publicar o vender los datos robados si no se paga el rescate.
Ofrecer un servicio de afiliados que permite a otros ciberdelincuentes utilizar el ransomware a cambio de una comisión.

¿Qué es, cómo funciona y qué riesgos tiene este software malicioso?

LockBit 3.0 ha protagonizado varios ataques de alto perfil, afectando a empresas de diversos sectores como la salud, la educación, la energía o el transporte. Los rescates exigidos por este ransomware suelen oscilar entre los 50.000 y los 5 millones de dólares, dependiendo del tamaño y la importancia de la víctima.

Según quienes han sufrido ataques, el proceso típico de LockBit 3.0 es:

Infectar el dispositivo de la víctima, cifra los archivos y agrega la extensión de los archivos cifrados como “HLjkNskOq”.
Se requiere una clave de argumento de línea de comandos conocida como “-pass” para realizar el cifrado.
LockBit 3.0 crea varios hilos para realizar múltiples tareas simultáneamente, de modo que el cifrado de datos se pueda completar en menos tiempo.
Elimina ciertos servicios o funciones para facilitar el proceso de cifrado y exfiltración.
Se utiliza una API para albergar el acceso a la base de datos del administrador de control de servicios.
El fondo de escritorio de la víctima se cambia para que sepa que está bajo ataque.

En este proceso, la herramienta de línea de comandos MpCmdRun.exe es explotada para que el atacante pueda descifrar y lanzar los balizas. Esto se hace engañando al sistema para que priorice y cargue una DLL (Biblioteca de Enlaces Dinámicos) maliciosa.

El archivo ejecutable MpCmdRun.exe es utilizado por Windows Defender para escanear en busca de malware, protegiendo así el dispositivo de archivos y programas dañinos. Dado que Cobalt Strike puede eludir las medidas de seguridad de Windows Defender, se ha vuelto muy útil para los atacantes de ransomware.

Esta técnica también se conoce como carga lateral, y permite a las partes maliciosas albergar o robar datos de los dispositivos infectados.

Cómo protegerse del ataque de LockBit 3.0

Para protegerse de LockBit 3.0 y otros tipos de ransomware, los expertos recomiendan:

Mantener actualizados los sistemas operativos y las aplicaciones con los últimos parches de seguridad.
Realizar copias de seguridad periódicas de los datos importantes y almacenarlas en lugares seguros y desconectados de la red.
Evitar abrir archivos adjuntos o enlaces sospechosos que lleguen por correo electrónico o redes sociales.
Utilizar soluciones antivirus y antimalware que detectan y bloquean el ransomware antes de que pueda ejecutarse.
Educar a los empleados y usuarios sobre las buenas prácticas de seguridad informática y cómo reconocer las señales de un ataque.

LockBit 3.0 es el ransomware que encabeza la lista este 2023, pero no es el único. Los ciberdelincuentes no cesan de innovar y crear nuevas variantes de malware que ponen en riesgo la seguridad y la privacidad de millones de personas. Por eso, es fundamental estar alerta y tomar medidas preventivas para evitar ser víctimas de esta amenaza. ¡Conozca más sobre los ransomware en la edición 11 de CyberWar Magazine!