LOCKBIT 3.0, LA RESURRECCIÓN DEL RANSOMWARE

Este ransomware, también conocido como LockBit Black, es la versión actualizada de su predecesor LockBit 2.0.

#DatoDeLaSemana Lockbit 3.0, la resurrección del ransomware 

El ransomware LockBit es un tipo de malware cuyo objetivo es extorsionar a empresas, organizaciones y otras entidades de todo el mundo: cifrando los archivos del dispositivo infectado, modificando sus nombres y exigiendo, posteriormente, el pago de un rescate a cambio de descifrar archivos. 

Lockbit 3.0 es una versión renovada de su predecesor, Lockbit 2.0, siendo mucho más efectivo y novedoso a la hora de realizar sus ataques. 

Se centra mayormente en atacar a empresas y otras entidades y no tanto a personas particulares; operando bajo el modelo de Ransomware-as-a-Service (RaaS). 

Este malware cifra los archivos, modifica sus nombres, cambia el fondo de pantalla y añade un archivo de texto en el escritorio, para posteriormente, solicitar el pago del rescate anteriormente mencionado. Si las víctimas de este ataque no pagan el rescate, los datos se publican en un sitio web de la red TOR (Dark Web). 

Si bien funciona desde el 2019, a mediados de este año concentró el 40% de víctimas por ransomware, acumulando más de 850 organizaciones afectadas. 

Los ataques de LockBit funcionan en 3 etapas: 

  • Explotando las debilidades de una red.
  • Infiltrándose para completar el ataque.  
  • Implementando la carga del cifrado. 

El ataque y la infección inicial de LockBit 3.0 se puede originar por: 

  • Explotación de puertos RDP (Protocolo de Escritorio Remoto). 
  • Phishing mediante correos electrónicos. 
  • Descargas de payloads maliciosas. 
  • Fallas de servidores por falta de parches de seguridad adecuados.

Lo novedoso de LockBit 3.0: 

  • Anunciaron un programa de “Bug Bounty” (programa de “recompensa por errores”). 
  • Lanzaron un sitio en la Dark Web. 
  • Incorporaron a Zcash –criptomoneda difícil de rastrear- como opción de pago. 

¿Cómo protegernos del ransomware LockBit 3.0? 

  • Implementando contraseñas seguras y activando el MFA.
  • Revaluando el acceso y los permisos en el sistema. 
  • Borrando las cuentas de usuarios desactualizadas y/o en desuso. 
  • Creando copias de seguridad (backups) actualizadas con regularidad. 

¿Cómo aislamos un dispositivo infectado? 

  • Desconectándolo de Internet. 
  • Desconectando todos los dispositivos de almacenamiento externo conectados al dispositivo infectado (expulsándolos previamente).
  • Cerrando la sesión de todas las cuentas de almacenamiento en la nube. 

 ¿Qué debo hacer si mi dispositivo fue infectado por LockBit 3.0? 
  • Ejecutar un análisis de un software antiransomware para eliminar este malware, lo antes posible, del dispositivo infectado.
  • Informar respecto a este ciberincidente a las autoridades correspondientes.

Si bien los archivos no suelen ser recuperados por pagos de rescates (por lo que no aconsejamos realizar ningún pago), la información sí se podría recuperar si se cuenta con una copia de seguridad previa o si hallamos alguna herramienta de desencriptado, una vez identificado el malware.  

SI TENÉS ALGUNA DUDA O CONSULTA: Escribinos a ciberseguridad@ba-csirt.gob.ar o por privado en nuestras redes.

Si tenés alguna duda o consulta

LOCKBIT 3.0, LA RESURRECCIÓN DEL RANSOMWARE
Logo de la Agencia de Sistemas de la Información del Gobierno de la Ciudad de Buenos Aires.
Logo del FIRST.