Lockbit y Lockbit 2.0 Ransomware: Qué es, cómo funciona y cómo evitarlo

¿Ya conocías el Lockbit? Existen diversos tipos de software maliciosos que afectan la seguridad de los datos, y dada su potencial amenaza, te contaremos todo lo que debes saber acerca de este malware y puedas evitarlo en tus sistemas.

¿A qué se denomina Lockbit?

LockBit es una entidad que se dedica, a través de softwares maliciosos, a cifrar datos para luego ofrecer una solución a los afectados mediante un modelo de servicio “Recovery As A Service”.

Esta “banda de ciberdelincuentes” proporciona sus servicios a otros informativos expertos para propagar este tipo de malware. Caracterizados por una alta eficiencia en sus ataques y en la resolución de estos, también tienen altos códigos morales de qué tipo de industrias afectar cómo por ejemplo no atacar organizaciones gubernamentales, de atención médica, entre otros; sin embargo, es una decisión ética que no los exonera de ninguna responsabilidad legal.

¿Qué es el ransomware LockBit?

El Lockbit ransomware es utilizado por ciberdelincuentes para obtener información de valor en los sistemas informáticos de las empresas, para así atacar sus datos importantes: robando datos, propagando una infección en , extorsionando a sus víctimas o afectando a las operaciones más importantes.

En un modelo de afiliados, LockBit ofrece plataformas de ransomware para comprometer la información de los afectados. Si la víctima accede a pagar para restablecer su seguridad, el pago de rescate se dividirá entre quienes realizan el ataque y “lock bit” como entidad.

A quienes afecta LockBit

Los ataques de LockBit se enfocan en organizaciones de diversos tamaños en diferentes industrias. Desde el software, servicios profesionales y/o comerciales, bancarios, transporte, entre otros.

¿Cómo el ransomware LockBit 2.0 infecta a los ordenadores?

Este tipo de software malicioso requiere una acción manual que luego le permite propagarse de forma autónoma en otros hosts e infectar los sistemas mediante scripts.  Involucra también otras herramientas para atacar puntos de seguridad y así ocultarse dentro de archivos comunes para el usuario y para el sistema.

El proceso que emplea LockBit para atacar la seguridad empresarial involucra el cambio de nombre en archivos afectados con la extensión “.abcd”; así mismo se crea un documento tipo txt llamado “Restore-My-Files.txt”´. Este archivo creado detalla las instrucciones paso a paso cómo recuperar los documentos, qué deberás hacer y con quién comunicarte para ello.

De forma general, un ransomware cómo Lock Bit funciona de la siguiente manera:

• El ciberdelincuente ingresa a la computadora a través de phishing, troyanos, campañas de spam, herramientas de activación de software, archivos infecciosos, entre otras estrategias.
• Se ejecutan comandos de forma interna a través de una dirección IP en el proceso de encriptación.
• La computadora afectada re-escribe archivos ejecutables de forma oculta.
• El ransomware aumenta los privilegios para actuar como administrador y si no es posible obtenerlos, elude el control de cuentas de usuario del sistema operativo.
• A continuación, LockBit cifra los archivos con la extensión .lockbit.

Este tipo de ataque se caracteriza por auto distribuirse y no requerir acción manual por parte de alguien, es guiado por un objetivo, utilizan una forma de propagación a través de Powershell y los SMB.

Etapas de un ataque de ransomware

Un ataque de ransomware ocurre en 7 etapas, tales como:

Entrega: Un empleado abre un link en un email o una web que contenga el portador del ransomware.

En primera instancia, LockBit expone las vulnerabilidades de las empresas, desde el conocimiento en estrategias de ingeniería social, hasta la exposición de sus sistemas y su seguridad asociada.

Infección: Este portador descarga el ransomware en el dispositivo. Cuando este malware ingresa al sistema libera toda su información para iniciar el proceso. Al infiltrarse realiza todo ello por sí mismo.

Servidor de Control y Comando(C2):  El ransomware ejecuta el código malicioso incrustado en la red, se conecta con el servidor C2 del atacante y espera instrucciones. Obtiene los privilegios necesarios para atacar

Movimiento lateral en la red y robo de credenciales:  El ransomware busca por la data para encriptar en la máquina local o cualquier red que tenga acceso.

Descubrimiento: El ransomware se mueve en la red, roba las credenciales y escala los privilegios para así comprometer más y más sistemas.

Encriptación: la data se cifra cuando la red esté lista y se propagará a medida de la disponibilidad de las máquinas con las que pueda conectarse.

En los dispositivos afectados, esta etapa afecta todos los archivos del sistema y solo podrá desbloquearse con las credenciales únicas que pertenecerán a LockBit. Rescate: el ciberdelincuente exige un pago a cambio para descifrar la data y en el proceso de encriptación, como mencionamos anteriormente, un archivo de texto se dejará con toda la información para que el afectado pueda comunicarse con los ciberdelincuentes para “regresar” la información, accediendo a sus demandas y cobros.

Tipos de amenazas de LockBit

LockBit es uno de los ransomware más actual y se ha estado potencializando en tiempos donde las personas trabajan en casa y las medidas de seguridad pueden ser bajas en algunas ocasiones. Existen diversos tipos de amenazas que deja este software malicioso.

Archivos afectados con la extensión .abcd y .LockBit

Esta es la versión original y reemplaza los archivos afectados con la extensión “.abcd”. Es esta la más común y también deja un archivo .txt con las instrucciones de cómo se puede recuperar la información. La versión .Lockbit es la más actual y es similar a la anteriormente mencionada.

Archivos afectados por LockBit2.0

En esta versión, las instrucciones de recuperación de información llevan a los afectados a un sitio web, descartando la necesidad de descargar un navegador.

LockBit y sus mejoras continuas

LockBit 2.0 es una nueva versión del ransomware con un cifrado más rápido que el anterior que involucra nuevos métodos de almacenamiento de datos robados, herramientas para el análisis de infraestructura de red, otras formas de advertencia de recuperación de datos, entre otros.

¿Cómo eliminar el descifrado de LockBit si ha sido afectado un dispositivo?

Si has detectado este malware en tus dispositivos, no es posible que con eliminarlo puedas tener tu información devuelta. Pero sí deberás tomar medidas para recuperarla y evitar que continúe afectando.

Qué pasos deben seguirse en caso de una infección de ransomware

En caso de una infección con este malware, deberás seguir los siguientes pasos para evitar afectar más dispositivos y responder ante el caso:

1. Toma medidas para contener el ataque.
2. Aísla tu dispositivos y de ser posible, mueve tus datos a ubicaciones seguras.
3. De forma rápida, haz un balance de la situación y determina qué tanto se han visto afectados tus sistemas, identifica de dónde pudo provenir el ataque, recolecta evidencia y de ser posible, restaura tus copias de seguridad.
4. Asegúrate de medir el impacto, con eso identificarás si otros dispositivos se han visto afectados y actúa de la misma manera.
5. Prepara un plan de comunicación para difundir la información y los siguientes pasos para actuar ante el ataque.
6. Comunícate con un equipo de expertos que puedan guiarte y recuperar tus datos de forma segura.

Aísla el dispositivo afectado:

Aísla el dispositivo para evitar las propagaciones del malware. Para ello puedes desactivar Wifi, el Ethernet y desconectar las redes inalámbricas. También deberás desconectar los dispositivos extraíbles como USB, cds, entre otros. Si tienes iniciadas sesiones de sincronización en la nube, desactívalas y desinstálalas.

Identifica el tipo de ransomware

Identifica el tipo de software malicioso que ingresó a tu computador en el archivo de texto que se suele encontrar en estos casos, puedes encontrarlos con nombres como “decrypt_files, decryption instructions, _readme o read-me” finalizados con una extensión .txt.

Si en estos archivos no está claro el tipo de ransomware, consulta la extensión del archivo. Lockbit los reemplaza por “.abcd” o “.lockbit”. En ocasiones, este método no funciona puesto que muchas veces se usa una extensión genérica como “.encrypted” “.locked” “.cypted”, entre otros. De ser así, puedes comprobar su ID en la web para identificarlo.

Si aún así no estás seguro de qué tipo sea, asegúrate de no instalar ningún programa que “sirva” para estos casos, pues sin tener clara esta información podrías afectar los archivos y evitar su recuperación más adelante.

Encuentra una herramienta y/o expertos que te ayuden a solucionarlo

Si bien existen muchas herramientas para descifrar el ransomware LockBit, muchas veces es mejor dejarlo a manos de Ingenieros y técnicos expertos que te garanticen la recuperación de la información sin perder la estructura, nombres y orden en que estaba antes del incidente.

Los archivos encriptados requieren un manejo especial, pues el cifrado está “bloqueado” con claves específicas que se crean en el proceso y que los ciberdelincuentes almacenan en servidores externos. Encontrar una herramienta adecuada que garantice la recuperación de la información, es demorado y en ocasiones poco probable.

Es así como te recomendamos que encuentres un aliado experto que te ayude a solucionar, de forma efectiva, la devolución de la información. Si has sido víctima de un ataque ransomware, nosotros podemos ayudarte a eliminar el ransomware y recuperar archivos encriptados.

Cómo protegerte del ransomware LockBit

Proteger tu información es vital para la seguridad y el funcionamiento correcto de tu empresa. Es importante que sigas los siguientes consejos para impedir ataques que afectan la seguridad de tus sistemas.

Cultura anti ciberataques

Crea una cultura interna en tu compañía que evite y se cuide de los ciberataques. Procura que tus empleados no abran correos electrónicos sospechosos o que sean potenciales o susceptibles de ser malintencionados. Recuerda que los archivos adjuntos o enlaces pueden desencadenar archivos que instalen este tipo de malware malicioso.

Encarga a tus equipos de sistemas el cuidado de ellos; procura que no se instalen sin el consentimiento de ellos programas o herramientas de activación ilegal, los cuales tienen mayor riesgo de afectar los dispositivos.

Cuenta con programas dedicados al cibercuidado

Emplea herramientas y un equipo que detecte comportamientos y técnicas usadas para detectar estas situaciones. Comunica estrategias de ingeniería social para visibilizar los tipos de situaciones que se pueden presentar para así concientizar a tus equipos.

Parches de seguridad

Crea una estrategia sólida de parches para actualizar la seguridad en el tiempo adecuado servidores, dispositivos, entre otros; para reducir la posibilidad de oportunidad de ataques.

Pruebas de penetración

Ejecuta pruebas de penetración para revelar posibles vulnerabilidades en la infraestructura de TI y la susceptibilidad de los empleados ante los ransomware. Con este tipo de resultados de la prueba puedes definir recursos de TI e informar futuras decisiones de ciberseguridad.

Consejos adicionales para evitar estos ataques

• Implementa la autenticación en dos pasos cuando tengas puntos de acceso remoto en una red empresarial. Presta atención y enfócate en proteger o deshabilitar el acceso al protocolo de escritorio remoto (RDP).

• Crea copias de seguridad cifradas, fuera de línea y actualizadas de forma periódica. Procura que estén fuera de línea, pues LockBit y los diversos tipos de ransomware se especializan en encontrar las copias de seguridad visibles.

• Establece un equipo de profesionales que pueda atender estos ataques, tanto interno o externo, con altos niveles de profesionalidad, de confianza y calificados que permitan responder de forma rápida a estos incidentes y explorar e identificar las vulnerabilidades de los sistemas.

• Define planes de respuesta a este tipo de incidentes, tales como políticas de comunicación y procedimientos de respuesta para estos ataques. Así mismo, deberás contar con estrategias para evitar el robo de datos cuando se trata de grandes cantidades de información core para tu empresa, como controlar el tipo de información que se maneja en el almacenamiento en la nube.

• Ejecuta pruebas para identificar los puntos débiles de tu red y evalúa los siguientes pasos de mejora que puedas poner en marcha para actuar rápidamente. Audita, controla, y actúa.

Sin importar el tamaño de tu empresa, nunca se está exento de sufrir un ataque de Lockbit y otros tipos de ransomware. Tomar las medidas adecuadas de prevención y difusión es importante para conocer cómo actuar y qué pasos a seguir debes realizar. Recuerda que es vital el acompañamiento y asesoramiento con expertos para que te guíen y fortalezcan tus sistemas.En la actualidad, somos un equipo comprometido con tu información y te garantizamos resultados efectivos debido a nuestras investigaciones y desarrollo constante en esta industria de la ciberseguridad con el fin de ofrecerte la mejor solución siempre, pensando en tu satisfacción. 

Si necesitas asistencia inmediata, ingresa al siguiente link estamos a tu servicio 24/7.