Un aviso conjunto de la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) tiene como objetivo distribuir información sobre indicadores conocidos de compromiso del ransomware LockBit 3.0. (IOC) y técnicas (TTP) que se descubrieron durante las investigaciones del FBI en marzo de 2023.
El ransomware LockBit 3.0 es una continuación de los programas de ransomware LockBit 2.0 y LockBit. Utiliza un modelo de Ransomware-as-a-Service (RaaS) para llevar a cabo sus actividades y funciones como un modelo RaaS. LockBit ha estado funcionando como una variante de ransomware basada en afiliados desde enero de 2020; los afiliados que implementan LockBit RaaS utilizan una amplia variedad de TTP para dirigirse a una amplia variedad de empresas y organizaciones de infraestructura crítica, lo que puede dificultar la defensa efectiva de las redes informáticas o mitigar sus efectos.
LockBit 3.0, también conocido como “LockBit Black”, es una versión actualizada del ransomware que es más modular y escurridizo que sus versiones anteriores. También tiene características con el malware conocido como Blackmatter y Blackcat.
Durante el proceso de compilación, LockBit 3.0 se personaliza con una amplia variedad de variables, cada una de las cuales influye en la forma en que opera el ransomware. Durante el proceso de puesta en acción del ransomware dentro de un entorno que pertenece a una víctima, se pueden dar numerosos argumentos para ajustar aún más el comportamiento del malware. Por ejemplo, LockBit 3.0 permite la aceptación de argumentos adicionales para algunas acciones, como el movimiento lateral y el reinicio en modo seguro (consulte los parámetros de la línea de comandos de LockBit en Indicadores de compromiso). Si un afiliado de LockBit no tiene acceso al ransomware LockBit 3.0 sin contraseña, entonces la ejecución del ransomware necesitará el ingreso de un argumento de contraseña. Aquellos que están afiliados a LockBit 3.0 pero no ingresan la contraseña correcta no podrán llevar a cabo el ransomware. Una clave criptográfica, la contraseña se utiliza para decodificar el ejecutable LockBit 3.0. LockBit 3.0 puede evitar la detección y el análisis de malware cifrando el código de tal manera que sea indescifrable y no se pueda ejecutar. Esto hace que el código sea inútil para detectar y analizar malware. Dado que la poción cifrada del ejecutable de LockBit 3.0 cambiará según la clave criptográfica que se utilizó para el cifrado y, al mismo tiempo, se crea un hash único, es posible que las detecciones basadas en firmas no puedan identificar el ejecutable de LockBit 3.0. LockBit 3.0 descifrará el componente principal cuando se le proporcione la contraseña adecuada, luego continuará descifrando o descomprimiendo su código y finalmente ejecutará el ransomware. 0 es capaz de evitar la detección y el análisis de malware cifrando el código de tal manera que sea indescifrable y no se pueda ejecutar. Esto hace que el código sea inútil para detectar y analizar malware. Dado que la poción cifrada del ejecutable de LockBit 3.0 cambiará según la clave criptográfica que se utilizó para el cifrado y, al mismo tiempo, se crea un hash único, es posible que las detecciones basadas en firmas no puedan identificar el ejecutable de LockBit 3.0. LockBit 3.0 descifrará el componente principal cuando se le proporcione la contraseña adecuada, luego continuará descifrando o descomprimiendo su código y finalmente ejecutará el ransomware. 0 es capaz de evitar la detección y el análisis de malware cifrando el código de tal manera que sea indescifrable y no se pueda ejecutar. Esto hace que el código sea inútil para detectar y analizar malware. Dado que la poción cifrada del ejecutable de LockBit 3.0 cambiará según la clave criptográfica que se utilizó para el cifrado y, al mismo tiempo, se crea un hash único, es posible que las detecciones basadas en firmas no puedan identificar el ejecutable de LockBit 3.0. LockBit 3.0 descifrará el componente principal cuando se le proporcione la contraseña adecuada, luego continuará descifrando o descomprimiendo su código y finalmente ejecutará el ransomware. 0 cambiará dependiendo de la clave criptográfica que se usó para el cifrado mientras se crea simultáneamente un hash único, es posible que las detecciones basadas en firmas no puedan identificar el ejecutable LockBit 3.0. LockBit 3.0 descifrará el componente principal cuando se le proporcione la contraseña adecuada, luego continuará descifrando o descomprimiendo su código y finalmente ejecutará el ransomware. 0 cambiará dependiendo de la clave criptográfica que se usó para el cifrado mientras se crea simultáneamente un hash único, es posible que las detecciones basadas en firmas no puedan identificar el ejecutable LockBit 3.0. LockBit 3.0 descifrará el componente principal cuando se le proporcione la contraseña adecuada, luego continuará descifrando o descomprimiendo su código y finalmente ejecutará el ransomware.
LockBit 3.0 solo infectará equipos que no tengan una configuración de idioma que sea compatible con una lista de exclusión que se haya especificado. Un indicador de configuración que se estableció por primera vez en el momento de la compilación decidirá en última instancia si un idioma del sistema se verifica o no cuando realmente se usa en tiempo de ejecución. En la lista de idiomas que no se pueden usar no se limitan, pero incluyen, rumano (hablado en Moldavia), árabe (hablado en Siria) y tártaro (Rusia). LockBit 3.0 detendrá la ejecución si se encuentra un idioma de la lista de exclusión [T1614.001], pero no infectará el sistema.
Para disminuir el riesgo de ataques de ransomware y disminuir su gravedad cuando ocurren, el FBI, CISA y MS-ISAC aconsejan a las empresas que pongan en práctica las mitigaciones.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
