LockBit ransomware es un software malicioso diseñado para bloquear el acceso de los usuarios a los sistemas informáticos a cambio de un pago de rescate. LockBit buscará automáticamente objetivos valiosos, propagará la infección y cifrará todos los sistemas informáticos accesibles en una red. Este ransomware se utiliza para ataques altamente dirigidos contra empresas y otras organizaciones. Como un ciberataque auto-pilotado, los atacantes LockBit han dejado una marca al amenazar a las organizaciones a nivel mundial con algunas de las siguientes amenazas:
LockBit es un nuevo ataque de ransomware en una larga lista de ciberataques de extorsión . Anteriormente conocido como ransomware “ABCD”, desde entonces se ha convertido en una amenaza única dentro del alcance de estas herramientas de extorsión. LockBit es una subclase de ransomware conocida como ‘virus criptográfico’ debido a que forma sus solicitudes de rescate en torno al pago financiero a cambio del descifrado. Se centra principalmente en empresas y organizaciones gubernamentales más que en individuos.
Los ataques con LockBit comenzaron originalmente en septiembre de 2019 , cuando se denominó “virus .abcd”. El apodo se refería al nombre de la extensión de archivo que se usa al cifrar los archivos de una víctima. Los objetivos pasados notables incluyen organizaciones en los Estados Unidos, China, India, Indonesia, Ucrania. Además, varios países de Europa (Francia, Reino Unido, Alemania) han sufrido ataques.
Los objetivos viables son aquellos que se sentirán lo suficientemente obstaculizados por la interrupción como para pagar una gran suma y tendrán los fondos para hacerlo. Como tal, esto puede resultar en ataques en expansión contra grandes empresas, desde el cuidado de la salud hasta las instituciones financieras. En su proceso de investigación automatizado, también parece evitar intencionalmente atacar sistemas locales de Rusia o cualquier otro país dentro de la Comunidad de Estados Independientes. Presumiblemente, esto es para evitar el enjuiciamiento en esas áreas.
LockBit funciona como ransomware-as-a-service (RaaS). Las partes interesadas depositan un depósito para el uso de ataques personalizados por encargo y obtienen ganancias bajo un marco de afiliación. Los pagos de rescate se dividen entre el equipo de desarrolladores de LockBit y los afiliados atacantes, que reciben hasta ¾ de los fondos del rescate.
Muchas autoridades consideran que LockBit ransomware forma parte de la familia de malware “LockerGoga & MegaCortex”. Esto simplemente significa que comparte comportamientos con estas formas establecidas de ransomware dirigido. Como explicación rápida, entendemos que estos ataques son:
- Se propaga por sí mismo dentro de una organización en lugar de requerir una dirección manual.
- Dirigido en lugar de propagarse de forma dispersa como el malware de spam.
- Usar herramientas similares para propagarse, como Windows Powershell y Server Message Block (SMB).
Lo más significativo es su capacidad para autopropagarse, lo que significa que se propaga por sí solo. En su programación, LockBit está dirigido por procesos automatizados prediseñados. Esto lo hace único de muchos otros ataques de ransomware que son impulsados por vivir manualmente en la red, a veces durante semanas, para completar el reconocimiento y la vigilancia.
Una vez que el atacante ha infectado manualmente un solo host, puede encontrar otros hosts accesibles, conectarlos a los infectados y compartir la infección mediante un script. Esto se completa y se repite por completo sin intervención humana.
Además, utiliza herramientas en patrones que son nativos de casi todos los sistemas informáticos de Windows. Los sistemas de seguridad de terminales tienen dificultades para marcar actividades maliciosas. También oculta el archivo de cifrado ejecutable disfrazándolo como el formato de archivo de imagen .PNG común, engañando aún más las defensas del sistema.
