1. Avisos de seguridad
  2. Campañas de ataque de Ransomware LockBit
Fecha de publicación: Vie, 03/03/2023 - 14:11

Aviso de seguridad

Nivel de peligrosidad: Alto

Descripción

¿Qué es Ransomware?

Ransomware es un malware o software malicioso, que tiene como principal objetivo adentrarse en el sistema operativo para encriptar archivos, impedir que se acceda a ellos y posteriormente cobrar una recompensa por la liberación (desencriptación) de éstos. 

¿Cómo logra atacar un ransomware?

La forma más común de infectar un equipo es a través del adjunto de un correo electrónico, que posteriormente se descarga y se ejecuta sin saber que se trata de un programa malicioso.

¿Cuál es la finalidad del ataque?

El fin es obtener grandes ganancias de dinero cobrando la recompensa por desencriptar los archivos.

lockbit_3_0

Campaña de Ransomware LockBit

Los laboratorios de FortiGuard han detectado una nueva campaña del ransomware LockBit que utiliza una combinación de técnicas efectivas en contra de los antivirus y protección de EndPoint. LockBit ha sido uno de los ransomware más peligrosos, activo desde el 2019. Fue protagonista de varios ataques exitosos contra una amplia cantidad de industrias, incluyendo infraestructura crítica

El ataque inicia a través de un archivo contenedor .img y una táctica de ingeniería social de mostrar un solo archivo, una vez que esta montado, mientras oculta el resto de los archivos del usuario. También es posible que las aplicaciones de análisis de malware lo pasen por alto.

Posteriormente, al ejecutar el archivo, el ransomware realiza los siguientes pasos:

- Cambia la contraseña del usuario 

- Hace que en el siguiente reinicio no se requiera la interacción del usuario.

- Intenta registrar un nuevo servicio que ejecutará su script VBS

- Configura el servicio para que se ejecute también en modo seguro usando reg.exe

- Finalmente se activa la carga útil LockBit que encripta los datos.

 

Este ransomware se enfoca en víctimas de habla hispana por tanto las entidades del Estado Plurinacional de Bolivia son un objetivo probable.

Nota de rescate del ransomware:

nota_de_rescate_lockbit

Recursos afectados

En caso de un ataque todos los archivos podrían ser encriptados e inaccesibles para el usuario.

Acciones reactivas

En caso de un ataque de ransomware se recomienda realizar las siguientes acciones:

- No pagar el rescate, debido a que no se tienen garantías de que se desencripten todos los archivos

- En caso de que se tenga una copia de respaldo es conveniente restaurar los archivos a partir de la copia.

- En caso de que no se tenga una copia de seguridad se podría buscar una herramienta para desencriptar los archivos en No More Ransom. En caso de que no exista una herramienta aún para la variante de ransomware comprometida, se podrían resguardar los archivos relevantes y volver a intentar en un tiempo.

Acciones preventivas

Para evitar que sucedan estos incidentes se recomienda:

- Mantener actualizados los sistemas y aplicaciones.

- Realizar copias de respaldo de manera recurrente.

- Utilizar soluciones Antimalware.

- Asimismo, realizar campañas de concientización al personal acerca de buenas prácticas:

  1. No descargar adjuntos de direcciones de correo desconocidas o sospechosas.
  2. No hacer clic en enlaces de correo electrónico sospechosos.
  3. No descargar software ilegal o crackeado
  4. En caso de encontrar correos o descargas sospechosas solicitar asistencia técnica.

 

Referencias

Fortinet

Kaspersky

Banco Santander