Aviso de CISA sobre LockBit: $ 91 millones extorsionados de 1,700 ataques desde 2020

by TecTop 16 de junio de 2023, 01:19

Signos de ransomware en todo el mundo. — Imagen: darkfoxelixir/Adobe Stock

un nuevo consultivo de un consorcio de organizaciones internacionales, incluida la Agencia de Seguridad de Infraestructura y Ciberseguridad, el FBI y el Centro de Análisis e Intercambio de Información Multiestatal, detalla los incidentes relacionados con LockBit, el ransomware más frecuente desde 2022, y recomienda mitigaciones. El creciente número de trabajadores híbridos está creando aún más vulnerabilidades, y las empresas más pequeñas son particularmente vulnerables.

Salta a:

¿Qué es LockBit?

LockBit, una operación de ransomware como servicio que ha extorsionado $91 millones de unos 1700 ataques contra organizaciones de EE. UU. desde 2020, atacando al menos a 576 organizaciones en 2022, brinda a los clientes una interfaz de código bajo para lanzar ataques.

El aviso de seguridad cibernética señaló que los ataques de LockBit han afectado a los sectores de servicios financieros, alimentos, educación, energía, servicios gubernamentales y de emergencia, atención médica, manufactura y transporte.

¿En qué se diferencia la cadena de eliminación de LockBit de la de otros jugadores de RaaS?

El aviso, que utiliza el Matriz MITRE ATT&CK para empresas framework como base para comprender la cadena de eliminación de LockBit, informa que la operación difiere de otros jugadores de RaaS porque:

Permite a los afiliados recibir pagos de rescate primero antes de enviar una parte al grupo principal, mientras que otros grupos de RaaS se pagan a sí mismos primero.
Menosprecia a otros grupos de RaaS en foros en línea.
Participa en trucos que generan publicidad.
Cuenta con una interfaz de apuntar y hacer clic de baja habilidad para su ransomware.

Saul Goodman de la web oscura: el acto de LockBit es falso legítimo

En un estudio de mayo de 2023 sobre la profesionalización del ransomware, la empresa de ciberseguridad WithSecure señaló que el modelo RaaS que utiliza LockBit es un sistema orientado a servicios; al igual que el software legítimo: crea herramientas, infraestructura y procedimientos operativos —“libros de estrategias”— y vende el acceso a estas herramientas y servicios a otros grupos o individuos.

VER: Las herramientas están mejorando, pero también Ataques ciberneticossegún un estudio de Cisco (TechRepublic)

Sean McNee, vicepresidente de investigación y datos de la firma de inteligencia de Internet DomainTools, dijo que el grupo LockBit actualiza continuamente el software, como lo haría una operación legítima, incluso lanzando un programa de recompensas por errores para el software.

“A medida que el modelo de ransomware como servicio continúa evolucionarvemos grupos que compiten por los principales afiliados a sus servicios”, dijo, y agregó que LockBit ha trabajado para aumentar el alcance y la amplitud de los ataques a través de la profesionalización en torno a su red de afiliados, incluida la publicidad activa en foros en línea.

Los operadores como LockBit se están adaptando y girando rápidamente hacia nuevas oportunidades comerciales para aprovechar la interrupción en el espacio del ransomware en su beneficio. Esta es una tendencia que tememos que continúe en 2023”.

El modelo de pago por juego reduce la barrera de entrada

“El sistema RaaS reduce la barrera de entrada, lo que permite que los nuevos participantes en la escena se beneficien de la experiencia de los actores establecidos y, al mismo tiempo, permite que los actores establecidos obtengan una parte de las ganancias de todos los clientes que utilizan su servicio”, dijo el autores del artículo de WithSecure, incluido el analista de inteligencia de amenazas de la empresa, Stephen Robinson.

«Como es el caso de los proveedores de servicios legítimos, las posibles ganancias son mucho mayores: el tiempo de las personas solo se puede vender una vez, mientras que la experiencia se empaqueta como un servicio, se puede vender repetidamente sin aumentar los costos en particular», escribieron los autores del artículo de WithSecure. .

Si bien el informe de WithSecure señaló, al igual que el aviso, que los afiliados de LockBit pagan una tarifa por acceder al grupo de origen y el grupo de origen toma un porcentaje de cualquier rescate pagado, los ataques, el modus operandi y los objetivos de los operadores varían mucho.

Alcance global de LockBit

En los EE. UU. el año pasado, LockBit constituyó el 16 % de los incidentes de ransomware del gobierno estatal y local informados al MS-ISAC, incluidos los ataques de ransomware contra los gobiernos locales, la educación superior pública y las escuelas K-12 y los servicios de emergencia.

VER: Los ataques de ransomware se disparan (República Tecnológica)

El aviso de seguridad cibernética señaló que, desde abril pasado hasta el primer trimestre de este año, LockBit representó el 18% del total de incidentes de ransomware australianos informados, y que fue el 22% de los incidentes de ransomware atribuidos en Canadá el año pasado.

El estudio de ransomware de mayo de 2023 de WithSecure señaló que las principales víctimas de LockBit en Europa incluían al fabricante alemán de piezas de automóviles Continental, la empresa estadounidense de software de seguridad Entrust y la empresa de tecnología francesa Thales.

La información vertida en los sitios de fuga de datos no es la imagen completa

Dado que LockBit se involucra en ataques de doble extorsión, en los que los atacantes que usan el ransomware bloquean bases de datos y extraen información de identificación personal con amenazas para publicar a menos que se pague, los sitios de fuga de datos son un elemento destacado en las vulnerabilidades RaaS del grupo de amenazas. El aviso informó de 1653 presuntas víctimas en los sitios de fugas de LockBit durante el primer trimestre de 2023.

Además, el aviso señaló que, debido a que los sitios de fugas solo muestran la parte de las víctimas de LockBit sujetas a extorsión que se niegan a pagar el rescate principal para descifrar sus datos, los sitios revelan solo una porción del número total de víctimas de LockBit.

“Por estas razones, los sitios de fuga no son un indicador confiable de cuándo ocurrieron los ataques de ransomware LockBit”, dijeron los autores del aviso, señalando que el volcado de datos en los sitios de fuga puede ocurrir meses después de los ataques de ransomware que generaron la información.

WithSecure señaló que LockBit, en junio de 2020, comenzó la «Colaboración con el cártel de rescate» con los grupos compañeros Maze y Egregor, que incluía el intercambio de sitios de fuga.

Cómo defenderse de LockBit

Los autores del aviso sugirieron que las organizaciones tomen medidas que se alineen con un conjunto de objetivos desarrollado por CISA y el Instituto Nacional de Normas y Tecnología, constituyendo prácticas y protecciones mínimas. En el aviso, las sugerencias se enumeran por táctica de cadena de eliminación, tal como lo describe MITRE ATT&CK, y el punto más temprano de la cadena de eliminación aparece primero.

El aviso señaló tres eventos principales de la cadena de muerte:

Acceso inicialdonde el actor cibernético está buscando una forma de entrar en una red.
Consolidación y preparacióncuando el actor intenta obtener acceso a todos los dispositivos.
Impacto en el objetivodonde el actor puede robar y cifrar datos y luego exigir un rescate.

Para abordar la mitigación del acceso inicial, el aviso sugirió que las organizaciones usen navegadores en espacio aislado para proteger los sistemas del malware que se origina en la navegación web, y señaló que los navegadores en espacio aislado aíslan la máquina host del código malicioso.

Los autores también recomendaron exigir que todas las cuentas con inicios de sesión con contraseña cumplan con normas NIST para desarrollar y administrar políticas de contraseñas. Entre las otras mitigaciones de acceso inicial recomendadas por los autores:

Aplique filtros en las puertas de enlace de correo electrónico para filtrar correos electrónicos maliciosos y bloquear direcciones IP sospechosas.
Instale un firewall de aplicaciones web.
Segmente las redes para evitar la propagación de ransomware.

Mitigaciones para otros eventos en la cadena de eliminación de LockBit

Ejecución

Desarrolle y actualice regularmente diagramas de red completos.
Controlar y restringir las conexiones de red.
Habilite el registro mejorado de PowerShell.
Asegúrese de que las instancias de PowerShell estén configuradas con la versión más reciente y tengan habilitado el módulo, bloque de secuencias de comandos y registro de transcripciones.
Active el registro de eventos de Windows de PowerShell y el registro operativo de PowerShell con un período de retención de al menos 180 días.
Configure el Registro de Windows para solicitar la aprobación del Control de cuentas de usuario para cualquier operación de PsExec que requiera privilegios de administrador.

Escalada de privilegios

Deshabilite las actividades y los permisos de línea de comandos y secuencias de comandos.
Habilite Credential Guard para proteger las credenciales de su sistema Windows.
Implemente la solución de contraseña de administrador local siempre que sea posible si su sistema operativo es anterior a Windows Server 2019 y Windows 10.

Evasión de defensa

Aplique políticas de seguridad locales para controlar la ejecución de la aplicación con una lista de permitidos estricta.
Establezca una lista de aplicaciones permitidas de aplicaciones de software y binarios aprobados.

Acceso con credencial

Restrinja el uso de NTLM con políticas de seguridad y cortafuegos.

Descubrimiento

Deshabilite los puertos que no se utilizan con fines comerciales.

Movimiento lateral

Identifique las rutas de control de Active Directory y elimine las más críticas entre ellas.
Identifique, detecte e investigue la actividad anormal y el posible cruce del ransomware indicado con una herramienta de monitoreo de red.

Comando y control

Implemente un modelo de niveles mediante la creación de zonas de confianza dedicadas a los activos más confidenciales de una organización.
Las organizaciones deberían considerar pasar a arquitecturas de confianza cero. El acceso VPN no debe considerarse una zona de red de confianza.

exfiltración

Bloquee las conexiones a sistemas maliciosos conocidos mediante el uso de un proxy de seguridad de la capa de transporte.
Utilice el filtrado web o un agente de seguridad de acceso a la nube para restringir o controlar el acceso a los servicios públicos de intercambio de archivos.

Impacto

Implemente un plan de recuperación para mantener y conservar varias copias de datos confidenciales o de propiedad y servidores en una ubicación segura, segmentada y separada físicamente.
Mantenga copias de seguridad fuera de línea de los datos y mantenga regularmente copias de seguridad y restauración diaria o semanalmente como mínimo.
Asegúrese de que todos los datos de respaldo estén encriptados, sean inmutables y cubran toda la infraestructura de datos de la organización.

Fuente

aborda abordar abril aca acceder acceso Ace Acer activa Active actividad actividades activos Acto actor actores actual Actualice actualiza Ada adapta además administrador administrar Adobe afecta afectado Age agencia agente agregó ala Alan alcance Ale Alice alimentos Alin alta ama AMENAZA amenazas amp analista ANC año ante anterior antes aparece aplica aplicación aplicaciones aplique aprobación aprovecha aprovechar apunta Aran Arc archivo archivos Ark Arm arquitectura art arte artículo Asa asar ASE asegúrese Asta atacando atacantes ataque ataques Atención ATT aumenta aumentar Aún Aura Australia australiano australianos Auto automóvil automóviles autor ave Aviso Bad baja bajo base bases beneficio bien Bio bloque bloquea bloquean bloquear bloquee Bra Bri brinda Bros Bus busca buscan Buscando CAD cada cadena Cal Cam cambio Canadá capa Car caso cat ceder cena Cent centro cero CES cibernética cibernético ciberseguridad Cide cifra cifrar CIPA Cipal Cisco cita clic Client cliente clientes Cobertura código cola colabora colaboración comando comandos comen comenzó comer comercial comerciales Cómo compañeros compiten completa completo completos compre compren comprender con conexiones confiable confianza confidencial confidenciales configurada conjunto Conocido conocidos conservar considera continúa contra contras contraseña contraseñas control controlar copia copias corre correo correos Corta cost costos crea creación Crean creando creciente credenciales crítica críticas cruce cualquier cuándo Cue cuenta cuentas Cup Dad dado dar Dark datos debe debería deberían debido dedica dedicada Defender defenderse defensa del demás desarrolla desarrollado desarrollar desarrolle descifrar describe descubrimiento desde después destaca destacado detalla día días diferencia dije dijo dio direcciones Direct directo director dispara disparan dispositivo dispositivos doble dos Duo dura Durant durante Ear Echa echar Echo eco EDA Edad educación ejecución electrónico electrónicos elemento elige elimina eliminación elimine Elixir ella ellas emergen emergencia empaque empresa empresas en línea Endo energía enlace Entra entrada entrar entre enumera enumeran enviar EOS EPA era eran Eren Eri error errores esa esas escala escena Escribe escuela Ese Esi Eso espacio EST está estable establecido estado estadounidense están estas este Estén estrategia estrategias estudio Euro Europa Eve Event evento eventos evita evitar Evo evolucionar Exec exfil EXP experiencia extra fabricante falso FBI Fia figura filtra Filtración FILTRADO filtrar filtros fin financiero fines Fire Firewall firma física físicamente forma formación formó foro Fox Frame Framework Fran francesa fue Fuego fuente fuera Fuga fugas GaN gana ganancias gas Gen genera generan generar gente gira girando Global gobierno Good Gram grupo grupos Guard gubernamentales habilidad hace hacer hacia HAL han hasta Hell herramienta herramientas híbrido híbridos Host identifica Identificación ido igual Image Imagen Impact Impacto implemente Incidente incidentes incluida incluido incluidos incluso indica indicador individuo informa información Informe infraestructura inicia inicial inicio inicios insta Instale instan instancias Intel inteligencia intercambio interfaz interna Internacional internacionales Internet interrupción investiga investigación iOS isla ISO Ive Jet juego jugado jugador jugadores junio junto lado Land lanza Lanzan lanzando lanzar las lateral lectura legítimos les libro libros Liga Lin línea list lista Lit Lite Liz LLA Loba loca local locales Lock Log Lon LOQ los Lucio luego mac Mad Mai Main mal malware Man Mana mantener Mantenga manufactura máquina más matriz mayo mayor mayores Maze Med media mediante medida medidas mejor mejora mejorado mejoran mejorando Memo Men menos Mental mente Mero mes meses mí mientras mil millones Mini mínimas mínimo mis mismo MIT mitigación Mod Mode model Modelo monitor monitoreo móvil móviles movimiento mucho Muerte muestra muestran nación nacional nacionales Nari NAS nave navegación navegador navegadores NCU NES Nico niega NIST Nivel niveles normas nos NSO nube nueva Nuevas nuevo nuevos número objetivo objetivos obliga obtener obtenga obtengan Oda ODM ola olla OMEN Opera Operación operador operadores operativo oportunidad oportunidades organizaciones origen Origin oro oscura oso OST otra otras otro otros paga pagado Pagar pago pagos pague pan par para Parece Part Parte pasa pasado pasar Pen pequeña pequeñas período permiso permite permitido pero persona personal personas Pet pie pieza piezas Pit plan política políticas por porque port posible posibles positivo Power Powers PowerShell Práctica prácticas prepara preparación presentó presidente Prime primer primero principal principales privilegio Pro probado profesional Program programa propiedad protecciones protege proteger proveedor proveedores Public publica publicidad públicos puede Puerta puertas puerto puertos punta punto qué Rae RAM ransomware rápida rápidamente raro razones recibir reciente recomendada recomendadas recomienda recompensa Recompensas recupera recuperación red redes reduce registro relacionado relacionados repara reparación Republic rescate Resident respaldo Rest restaura revela Revelan Ring roba robado robados robar Robin ROG rol ropa Ros Roxy ruta rutas Salt salta SAN SAR Scribe sea sean sector Secure Según segura seguridad semana semanal señal señala separa ser Server servicio Servicios servidor servidores sesión Shell Sid Side SIEM siempre sin sistema sistemas sitio sitios sobre Soft software sol solicita solicitar Solid solo solución son SOS Stable Stan STEM Step stock Studio Super superior sus Tab tal Tales también tan tarifa té Tech tecnología tecnológica tema temas temprano Ten tendencia tener tenga tengan Tera TIE tiempo Tim toda Todas todo todos Tom toma Tome Tool tools torno total trabaja trabajadores trae traen trans Transport transporte tras través tres trimestre Tru truco trucos Trust Uber ubica ubicación Una unida unidad unidades uno unos usa usan UScan usen uso usuario utilice utiliza utilizan varias vas VEL ven vende vender ver versión vez Vic Vice vicepresidente vicio víctima víctimas vida Vol VPN vulnerabilidad vulnerabilidades Vulnerable vulnerables War web win Wind Windows work Yor Zona Zone

La impresionante historia de 650 páginas de JRPG de Bitmap está disponible para pedidos por adelantado en Amazon

Las mejores ofertas de Apple de la semana: compre precios bajos en M3 MacBook Air, M3 iMac y M1 iPad Air

Cat Quest 3 tendrá un lanzamiento físico, incluye un mapa mundial y pegatinas coleccionables

La actualización de Minecraft 1.21 se llama oficialmente Tricky Trials y agrega una nueva arma

Se dice que el evento de Apple del próximo mes estará «acompañado de un evento en Londres»

La edición física de High On Life y los pedidos anticipados de novelas gráficas oficiales ya están disponibles en Amazon

Informe BeyondTrust: las vulnerabilidades de seguridad de Microsoft disminuyeron un 5% en 2023

Las empresas Estée Lauder y Microsoft aumentan la colaboración para impulsar la belleza de prestigio con IA generativa

3 formas sencillas de encontrar su clave de producto de Windows 10

The Coca-Cola Company y Microsoft anuncian una asociación estratégica de cinco años para acelerar las iniciativas de inteligencia artificial generativa y en la nube – Historias

Computación cuántica en la nube asegurada en un nuevo avance en Oxford

Cómo hacer un código QR: 7 formas de generar códigos QR

Así puedes jugar en pantalla dividida en Call of Duty: Modern Warfare 2