miércoles, noviembre 13, 2024
Irtra
Cuba Energy Summit
Realidad Turística
MAD-HAV Enjoy Travel Group
Mónica Eventos y Bodas
Walmart
AVA Resorts
Grupo Hotelero Islazul
Grupo Hotelero Islazul
MuniGuate
Cervecería Centroamericana S.A.
Irtra
Barceló Solymar
INOR
Centro Nacional de Cirugía de Mínimo Acceso de Cuba
Nestle
Mónica Eventos y Bodas
CUN-HAV Enjoy Travel Group
MAD-HAV Enjoy Travel Group
Agexport
Instituto Hondureño de Turismo
Herbalife
Servicios Médicos Cubanos
blackanddecker
Realidad Turística
MITM Events
Irtra
Intecap
Los Portales
Cuba Energy Summit
AVA Resorts
Walmart

Variante del ransomware LockBit se hace pasar por empleados y se autopropaga

LockBit persiste, pues el constructor o builder filtrado en 2022 sigue siendo una amenaza. Tras un reciente incidente, el Equipo Global de Respuesta a Emergencias de Kaspersky alertó sobre un ataque en el que los adversarios crearon su propia variante de malware de cifrado, equipada con funcionalidades de autopropagación. Los cibercriminales vulneraron la infraestructura, explotando credenciales de administrador privilegiado robadas.

El último incidente se registró en África Occidental, concretamente en Guinea-Bisáu, y reveló que el ransomware personalizado emplea técnicas que no se habían visto anteriormente. Es capaz de crear un efecto avalancha incontrolable, con hosts infectados que intentan propagar el malware dentro de la red de la víctima.

Los incidentes que implican diversos tipos de técnicas basadas en LockBit 3.0, pero que carecen de la capacidad de autopropagación y suplantación de identidad encontradas en Guinea-Bisáu, se producen regularmente en diversas industrias y regiones. Se han observado en Chile, Rusia e Italia, y es posible que la geografía de los ataques siga ampliándose.

Por este motivo, Kaspersky presenta un análisis detallado para identificar este tipo de actor malicioso:

  • Suplantación de identidad. Aprovechando las credenciales ilícitamente adquiridas, el actor de amenaza se hace pasar por el administrador del sistema con derechos privilegiados. Este escenario es crítico, ya que las cuentas privilegiadas ofrecen amplias oportunidades para ejecutar el ataque y acceder a las áreas más críticas de la infraestructura corporativa.
  • Autopropagación. El ransomware personalizado también puede propagarse autónomamente a través de la red utilizando credenciales de dominio altamente privilegiadas y realizar actividades maliciosas, como desactivar Windows Defender, cifrar comparticiones de red y borrar los registros de eventos de Windows para cifrar datos y ocultar sus acciones. Asimismo, el comportamiento del malware resulta en un escenario donde cada host infectado intenta infectar otros dentro de la red.
  • Funcionalidades adaptativas. Los archivos de configuración personalizados, junto con las funcionalidades mencionadas anteriormente, permiten que el malware se adapte a las configuraciones específicas de la arquitectura de la empresa comprometida. Por ejemplo, el atacante puede configurar el ransomware para infectar solo archivos específicos, como todos los archivos .xlsx y .docx, o solo un conjunto de sistemas específicos. Al ejecutar este build personalizado en una máquina virtual, Kaspersky observó que realizaba actividades maliciosas y generaba una nota de rescate personalizada en el escritorio. En escenarios reales, esta nota incluye detalles sobre cómo la víctima debe contactar a los atacantes para obtener el descodificador.

“El builder LockBit 3.0 fue filtrado en 2022, pero los atacantes aún lo usan activamente para crear versiones personalizadas, sin la necesidad de tener habilidades avanzadas de programación. Esta flexibilidad brinda a los adversarios muchas oportunidades para mejorar la efectividad de sus ataques, como muestra el caso reciente. Esto hace que estos tipos de ataques sean aún más peligrosos, considerando la frecuencia creciente de fugas de credenciales corporativas”, asegura Cristian Souza, especialista en respuesta a incidentes del Equipo Global de Respuesta a Emergencias de Kaspersky.

Además, Kaspersky observó que los atacantes utilizaron el script SessionGopher para localizar y extraer contraseñas guardadas para conexiones remotas en los sistemas afectados.

Los productos de Kaspersky detectan la amenaza con los siguientes veredictos:

  • Trojan-Ransom.Win32.Lockbit.gen
  • Trojan.Multi.Crypmod.gen
  • Trojan-Ransom.Win32.Generic

El script SessionGopher se detecta como:

  • HackTool.PowerShell.Agent.l
  • HackTool.PowerShell.Agent.ad

LockBit es un grupo de ciberdelincuentes que ofrece Ransomware como Servicio (RaaS). En febrero de 2024, una operación policial internacional se hizo con el control del grupo. Pocos días después de la operación, el grupo de ransomware anunció desafiante que volvía a la acción.

Kaspersky recomienda las siguientes medidas generales para mitigar los ataques de ransomware:

  • Implementa un programa de respaldo frecuente de tus equipos y servidores, y realiza pruebas regulares.
  • Si has sido víctima de un ransomware y aún no existe ningún descodificador conocido, guarda tus archivos cifrados críticos: es posible que surja una solución de descifrado, por ejemplo, durante la investigación de amenazas en curso o si las autoridades consiguen hacerse con el control del actor detrás de la amenaza.
  • Recientemente, las autoridades realizaron una operación, desmantelando el grupo de ransomware LockBit. Durante la operación, las fuerzas del orden obtuvieron claves de descodificación privadas y prepararon herramientas para descifrar archivos basados en IDs conocidos. Estas herramientas, como check_decryption_id.exe y check_decrypt.exe, ayudan a evaluar si los archivos pueden ser recuperados.
  • Implementa una solución de seguridad sólida, como Kaspersky Endpoint Security, y asegúrate de que esté correctamente configurada. Considera los servicios de Managed Detection and Response (MDR) para la caza proactiva de amenazas.
  • Reduce tu superficie de ataque deshabilitando servicios y puertos no utilizados.
  • Mantén tus sistemas y el software actualizados para parchear vulnerabilidades.
  • Realiza regularmente pruebas de penetración y escaneos de vulnerabilidad para detectar debilidades e implementar las medidas apropiadas.
  • Proporciona capacitación regular en ciberseguridad a los empleados para aumentar la conciencia sobre las amenazas cibernéticas y las estrategias de mitigación.

Fuente. Kaspersky

Instituto Hondureño de Turismo
Herbalife
Realidad Turística
Los Portales
Walmart
Irtra
Agexport
Cuba Energy Summit
Intecap
Barceló Solymar
CUN-HAV Enjoy Travel Group
Nestle
Grupo Hotelero Islazul
MuniGuate
Cervecería Centroamericana S.A.
INOR
Mónica Eventos y Bodas
MITM Events
Irtra
Centro Nacional de Cirugía de Mínimo Acceso de Cuba
MAD-HAV Enjoy Travel Group
AVA Resorts
blackanddecker
Servicios Médicos Cubanos

Related Articles

CUN-HAV Enjoy Travel Group
Herbalife
Realidad Turística
Barceló Solymar
Intecap
Centro Nacional de Cirugía de Mínimo Acceso de Cuba
Cuba Energy Summit
blackanddecker
Walmart
Irtra
Agexport
Cervecería Centroamericana S.A.
INOR
Mónica Eventos y Bodas
MAD-HAV Enjoy Travel Group
Los Portales
MuniGuate
Servicios Médicos Cubanos
Grupo Hotelero Islazul
MITM Events
Nestle
Irtra
Instituto Hondureño de Turismo
AVA Resorts

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí
Captcha verification failed!
La puntuación de usuario de captcha falló. ¡por favor contáctenos!

Walmart
Centro Nacional de Cirugía de Mínimo Acceso de Cuba
Grupo Hotelero Islazul
Servicios Médicos Cubanos
Barceló Solymar
Realidad Turística
Cervecería Centroamericana S.A.
MuniGuate
AVA Resorts
Herbalife
CUN-HAV Enjoy Travel Group
Irtra
MITM Events
INOR
Cuba Energy Summit
Intecap
Nestle
Los Portales
Mónica Eventos y Bodas
MAD-HAV Enjoy Travel Group
Instituto Hondureño de Turismo
blackanddecker
Irtra
Agexport
- Advertisement -
Henkel Latinoamerica
Hotel Barcelo Solymar
Havanatur
Maggi - GLUTEN-FREE
Intecap
Barcelo Guatemala City
Blue Diamond Resorts
AirEuropa
Irtra
Cubacel
Revista Colombiana de Turismo Passport
MuniGuate

Lo más leído...

- Advertisement -
Irtra
Intecap
Havanatur
Cubacel
MuniGuate
AirEuropa
Hotel Barcelo Solymar
Maggi - GLUTEN-FREE
Barcelo Guatemala City
Blue Diamond Resorts
Revista Colombiana de Turismo Passport
Henkel Latinoamerica