in

Aviso de CISA sobre LockBit: $ 91 millones extorsionados de 1,700 ataques desde 2020

Signos de ransomware en todo el mundo.
Imagen: darkfoxelixir/Adobe Stock

un nuevo consultivo de un consorcio de organizaciones internacionales, incluida la Agencia de Seguridad de Infraestructura y Ciberseguridad, el FBI y el Centro de Análisis e Intercambio de Información Multiestatal, detalla los incidentes relacionados con LockBit, el ransomware más frecuente desde 2022, y recomienda mitigaciones. El creciente número de trabajadores híbridos está creando aún más vulnerabilidades, y las empresas más pequeñas son particularmente vulnerables.

Salta a:

¿Qué es LockBit?

LockBit, una operación de ransomware como servicio que ha extorsionado $91 millones de unos 1700 ataques contra organizaciones de EE. UU. desde 2020, atacando al menos a 576 organizaciones en 2022, brinda a los clientes una interfaz de código bajo para lanzar ataques.

El aviso de seguridad cibernética señaló que los ataques de LockBit han afectado a los sectores de servicios financieros, alimentos, educación, energía, servicios gubernamentales y de emergencia, atención médica, manufactura y transporte.

¿En qué se diferencia la cadena de eliminación de LockBit de la de otros jugadores de RaaS?

El aviso, que utiliza el Matriz MITRE ATT&CK para empresas framework como base para comprender la cadena de eliminación de LockBit, informa que la operación difiere de otros jugadores de RaaS porque:

  • Permite a los afiliados recibir pagos de rescate primero antes de enviar una parte al grupo principal, mientras que otros grupos de RaaS se pagan a sí mismos primero.
  • Menosprecia a otros grupos de RaaS en foros en línea.
  • Participa en trucos que generan publicidad.
  • Cuenta con una interfaz de apuntar y hacer clic de baja habilidad para su ransomware.

Saul Goodman de la web oscura: el acto de LockBit es falso legítimo

En un estudio de mayo de 2023 sobre la profesionalización del ransomware, la empresa de ciberseguridad WithSecure señaló que el modelo RaaS que utiliza LockBit es un sistema orientado a servicios; al igual que el software legítimo: crea herramientas, infraestructura y procedimientos operativos —“libros de estrategias”— y vende el acceso a estas herramientas y servicios a otros grupos o individuos.

VER: Las herramientas están mejorando, pero también Ataques ciberneticossegún un estudio de Cisco (TechRepublic)

Sean McNee, vicepresidente de investigación y datos de la firma de inteligencia de Internet DomainTools, dijo que el grupo LockBit actualiza continuamente el software, como lo haría una operación legítima, incluso lanzando un programa de recompensas por errores para el software.

“A medida que el modelo de ransomware como servicio continúa evolucionarvemos grupos que compiten por los principales afiliados a sus servicios”, dijo, y agregó que LockBit ha trabajado para aumentar el alcance y la amplitud de los ataques a través de la profesionalización en torno a su red de afiliados, incluida la publicidad activa en foros en línea.

Los operadores como LockBit se están adaptando y girando rápidamente hacia nuevas oportunidades comerciales para aprovechar la interrupción en el espacio del ransomware en su beneficio. Esta es una tendencia que tememos que continúe en 2023”.

El modelo de pago por juego reduce la barrera de entrada

“El sistema RaaS reduce la barrera de entrada, lo que permite que los nuevos participantes en la escena se beneficien de la experiencia de los actores establecidos y, al mismo tiempo, permite que los actores establecidos obtengan una parte de las ganancias de todos los clientes que utilizan su servicio”, dijo el autores del artículo de WithSecure, incluido el analista de inteligencia de amenazas de la empresa, Stephen Robinson.

“Como es el caso de los proveedores de servicios legítimos, las posibles ganancias son mucho mayores: el tiempo de las personas solo se puede vender una vez, mientras que la experiencia se empaqueta como un servicio, se puede vender repetidamente sin aumentar los costos en particular”, escribieron los autores del artículo de WithSecure. .

Si bien el informe de WithSecure señaló, al igual que el aviso, que los afiliados de LockBit pagan una tarifa por acceder al grupo de origen y el grupo de origen toma un porcentaje de cualquier rescate pagado, los ataques, el modus operandi y los objetivos de los operadores varían mucho.

Alcance global de LockBit

En los EE. UU. el año pasado, LockBit constituyó el 16 % de los incidentes de ransomware del gobierno estatal y local informados al MS-ISAC, incluidos los ataques de ransomware contra los gobiernos locales, la educación superior pública y las escuelas K-12 y los servicios de emergencia.

VER: Los ataques de ransomware se disparan (República Tecnológica)

El aviso de seguridad cibernética señaló que, desde abril pasado hasta el primer trimestre de este año, LockBit representó el 18% del total de incidentes de ransomware australianos informados, y que fue el 22% de los incidentes de ransomware atribuidos en Canadá el año pasado.

El estudio de ransomware de mayo de 2023 de WithSecure señaló que las principales víctimas de LockBit en Europa incluían al fabricante alemán de piezas de automóviles Continental, la empresa estadounidense de software de seguridad Entrust y la empresa de tecnología francesa Thales.

La información vertida en los sitios de fuga de datos no es la imagen completa

Dado que LockBit se involucra en ataques de doble extorsión, en los que los atacantes que usan el ransomware bloquean bases de datos y extraen información de identificación personal con amenazas para publicar a menos que se pague, los sitios de fuga de datos son un elemento destacado en las vulnerabilidades RaaS del grupo de amenazas. El aviso informó de 1653 presuntas víctimas en los sitios de fugas de LockBit durante el primer trimestre de 2023.

Además, el aviso señaló que, debido a que los sitios de fugas solo muestran la parte de las víctimas de LockBit sujetas a extorsión que se niegan a pagar el rescate principal para descifrar sus datos, los sitios revelan solo una porción del número total de víctimas de LockBit.

“Por estas razones, los sitios de fuga no son un indicador confiable de cuándo ocurrieron los ataques de ransomware LockBit”, dijeron los autores del aviso, señalando que el volcado de datos en los sitios de fuga puede ocurrir meses después de los ataques de ransomware que generaron la información.

WithSecure señaló que LockBit, en junio de 2020, comenzó la “Colaboración con el cártel de rescate” con los grupos compañeros Maze y Egregor, que incluía el intercambio de sitios de fuga.

Cómo defenderse de LockBit

Los autores del aviso sugirieron que las organizaciones tomen medidas que se alineen con un conjunto de objetivos desarrollado por CISA y el Instituto Nacional de Normas y Tecnología, constituyendo prácticas y protecciones mínimas. En el aviso, las sugerencias se enumeran por táctica de cadena de eliminación, tal como lo describe MITRE ATT&CK, y el punto más temprano de la cadena de eliminación aparece primero.

El aviso señaló tres eventos principales de la cadena de muerte:

  • Acceso inicialdonde el actor cibernético está buscando una forma de entrar en una red.
  • Consolidación y preparacióncuando el actor intenta obtener acceso a todos los dispositivos.
  • Impacto en el objetivodonde el actor puede robar y cifrar datos y luego exigir un rescate.

Para abordar la mitigación del acceso inicial, el aviso sugirió que las organizaciones usen navegadores en espacio aislado para proteger los sistemas del malware que se origina en la navegación web, y señaló que los navegadores en espacio aislado aíslan la máquina host del código malicioso.

Los autores también recomendaron exigir que todas las cuentas con inicios de sesión con contraseña cumplan con normas NIST para desarrollar y administrar políticas de contraseñas. Entre las otras mitigaciones de acceso inicial recomendadas por los autores:

  • Aplique filtros en las puertas de enlace de correo electrónico para filtrar correos electrónicos maliciosos y bloquear direcciones IP sospechosas.
  • Instale un firewall de aplicaciones web.
  • Segmente las redes para evitar la propagación de ransomware.

Mitigaciones para otros eventos en la cadena de eliminación de LockBit

Ejecución

  • Desarrolle y actualice regularmente diagramas de red completos.
  • Controlar y restringir las conexiones de red.
  • Habilite el registro mejorado de PowerShell.
  • Asegúrese de que las instancias de PowerShell estén configuradas con la versión más reciente y tengan habilitado el módulo, bloque de secuencias de comandos y registro de transcripciones.
  • Active el registro de eventos de Windows de PowerShell y el registro operativo de PowerShell con un período de retención de al menos 180 días.
  • Configure el Registro de Windows para solicitar la aprobación del Control de cuentas de usuario para cualquier operación de PsExec que requiera privilegios de administrador.

Escalada de privilegios

  • Deshabilite las actividades y los permisos de línea de comandos y secuencias de comandos.
  • Habilite Credential Guard para proteger las credenciales de su sistema Windows.
  • Implemente la solución de contraseña de administrador local siempre que sea posible si su sistema operativo es anterior a Windows Server 2019 y Windows 10.

Evasión de defensa

  • Aplique políticas de seguridad locales para controlar la ejecución de la aplicación con una lista de permitidos estricta.
  • Establezca una lista de aplicaciones permitidas de aplicaciones de software y binarios aprobados.

Acceso con credencial

  • Restrinja el uso de NTLM con políticas de seguridad y cortafuegos.

Descubrimiento

  • Deshabilite los puertos que no se utilizan con fines comerciales.

Movimiento lateral

  • Identifique las rutas de control de Active Directory y elimine las más críticas entre ellas.
  • Identifique, detecte e investigue la actividad anormal y el posible cruce del ransomware indicado con una herramienta de monitoreo de red.

Comando y control

  • Implemente un modelo de niveles mediante la creación de zonas de confianza dedicadas a los activos más confidenciales de una organización.
  • Las organizaciones deberían considerar pasar a arquitecturas de confianza cero. El acceso VPN no debe considerarse una zona de red de confianza.

exfiltración

  • Bloquee las conexiones a sistemas maliciosos conocidos mediante el uso de un proxy de seguridad de la capa de transporte.
  • Utilice el filtrado web o un agente de seguridad de acceso a la nube para restringir o controlar el acceso a los servicios públicos de intercambio de archivos.

Impacto

  • Implemente un plan de recuperación para mantener y conservar varias copias de datos confidenciales o de propiedad y servidores en una ubicación segura, segmentada y separada físicamente.
  • Mantenga copias de seguridad fuera de línea de los datos y mantenga regularmente copias de seguridad y restauración diaria o semanalmente como mínimo.
  • Asegúrese de que todos los datos de respaldo estén encriptados, sean inmutables y cubran toda la infraestructura de datos de la organización.

Fuente

Así puedes jugar en pantalla dividida en Call of Duty: Modern Warfare 2

Así puedes jugar en pantalla dividida en Call of Duty: Modern Warfare 2

Vista previa de Naruto X Boruto: Ultimate Ninja Storm Connections: un luchador de arena para una nueva generación