Redes

$ 91 millones extorsionados de 1,700 ataques desde 2023

0 0 7 minutos de lectura
Ransomware signs around the globe.

Las señales de ransomware están en todo el mundo.Imagen: darkfoxelixir/Adobe Stock

Un nuevo aviso de una coalición internacional de organizaciones que incluye la Agencia de Seguridad de Infraestructura y Ciberseguridad, el FBI y el Centro de Análisis e Intercambio de Información Multiestatal detalla incidentes relacionados con LockBit, el ransomware más frecuente desde 2023, y propone medidas de mitigación sugeridas. La creciente fuerza laboral híbrida está creando más vulnerabilidades, y las empresas más pequeñas son especialmente vulnerables.

Salta a:

¿Qué es LockBit?

LockBit, una operación de ransomware como servicio que ha extorsionado $ 91 millones de unos 1700 ataques a organizaciones estadounidenses desde 2023 y al menos 576 organizaciones en 2023, ofrece a los clientes una interfaz de código bajo para lanzar el ataque.

El aviso de seguridad cibernética señaló que el ataque LockBit ha afectado a los sectores de servicios financieros, alimentos, educación, energía, gobierno y servicios de emergencia, atención médica, manufactura y transporte.

¿En qué se diferencia la cadena de eliminación de LockBit de la de otros jugadores de RaaS?

Usando el marco MITRE ATT&CK Matrix for Enterprise como base para comprender la cadena de eliminación de LockBit, el aviso informa que la operación difiere de otros jugadores de RaaS porque:

  • Permite a los afiliados recibir el rescate antes de enviarlo al grupo central, mientras que los otros grupos RaaS se pagan primero.
  • Denigrar a otros grupos de RaaS en foros en línea.
  • Participar en la producción de trucos publicitarios.
  • Su ransomware tiene una interfaz de apuntar y hacer clic de baja habilidad.

Saul Goodman de Dark Web: el comportamiento de LockBit es falso y legítimo

En un estudio de mayo de 2023 sobre la especialización en ransomware, la empresa de seguridad cibernética WithSecure señaló que el modelo RaaS utilizado por LockBit es un sistema orientado a servicios; al igual que el software legítimo: crea herramientas, infraestructura y procedimientos operativos —»The Playbook»— y vende acceso. a esas herramientas y servicios a otros grupos o individuos.

VER: Las herramientas están mejorando, pero también mejorando Ataques de redSegún Cisco Research (Tecnopedia)

Publicaciones relacionadas

Sean McNee, vicepresidente de investigación y datos de la empresa DomainTools de Internet Intel, dijo que el grupo LockBit actualizaba constantemente el software como si estuviera funcionando legítimamente, e incluso emitió un programa de recompensas por errores para el software.

«A medida que el modelo de ransomware como servicio continúa evolucionando, vemos organizaciones que compiten por los principales afiliados para su servicio», dijo, y agregó que LockBit ha estado trabajando para expandir el alcance de sus ataques a través de la especialización en torno a su red de afiliados Alcance y amplitud, incluida la publicidad agresiva en foros en línea.

Los operadores como LockBit se están adaptando rápidamente y aprovechando las nuevas oportunidades comerciales para aprovechar la interrupción en el espacio del ransomware. Tememos que esta tendencia continúe en 2023. «

El modelo pagado reduce las barreras de entrada

«El sistema RaaS reduce las barreras de entrada, lo que permite que los nuevos participantes se beneficien de la experiencia de los actores establecidos, al mismo tiempo que les permite a los actores establecidos obtener una parte de las ganancias de todos los clientes que usan sus servicios», dijeron los autores de WithSecure. papel, incluida la empresa Stephen Robinson, un analista de inteligencia de amenazas en

Los autores del artículo de WithSecure escriben: «Como en el caso de los proveedores de servicios legítimos, las posibles ganancias son mucho mayores: el tiempo personal solo se puede vender una vez, mientras que la experiencia se empaqueta como un servicio que se puede revender sin un costo de aumento especial». .

Si bien el informe WithSecure señala que, al igual que con la consultoría, los afiliados de LockBit pagan por el acceso a los grupos fuente, que toman un porcentaje de cualquier rescate pagado, los operadores varían ampliamente en sus ataques, modus operandi y objetivos.

Alcance global de LockBit

En los EE. UU. el año pasado, LockBit representó el 16 por ciento de los incidentes de ransomware del gobierno estatal y local informados a MS-ISAC, incluidos los ataques de ransomware en los gobiernos locales, la educación superior pública y las escuelas K-12, y los servicios de emergencia.

mirar: Aumento de los ataques de ransomware (República tecnológica)

Cybersecurity Advisory señaló que desde abril del año pasado hasta el primer trimestre de este año, LockBit representó el 18 por ciento del total de incidentes de ransomware informados en Australia y el 22 por ciento de los incidentes de ransomware atribuibles en Canadá el año pasado.

El estudio de ransomware de mayo de 2023 de WithSecure señaló que las principales víctimas de LockBit en Europa incluían al fabricante alemán de autopartes Continental, la empresa estadounidense de software de seguridad Entrust y la empresa francesa de tecnología Thales.

La información vertida en los sitios de violación de datos no lo es todo

Debido a que LockBit se involucra en ataques de doble extorsión, donde los atacantes que usan ransomware bloquean una base de datos y filtran información de identificación personal, y amenazan con liberarla a menos que se les pague, los sitios de violación de datos son un factor destacado en los ataques RaaS de las organizaciones de amenazas. El aviso informó que, a partir del primer trimestre de 2023, había 1653 presuntas víctimas en el sitio de fuga de LockBit.

Informes de seguridad de lectura obligada

Además, el boletín señala que dado que los sitios filtrados muestran solo una fracción de las víctimas de LockBit extorsionadas que se negaron a pagar el rescate principal para descifrar sus datos, estos sitios solo muestran una pequeña fracción del número total de víctimas de LockBit.

«Por estas razones, el sitio de fuga no es un indicador confiable de cuándo ocurrió un ataque de ransomware LockBit», dijeron los autores del boletín, y señalaron que el volcado de datos al sitio de fuga podría haber ocurrido meses después del ataque de ransomware que produjo la información.

WithSecure señaló que LockBit comenzó una «colaboración de cártel de chantaje» con otros grupos Maze y Egregor en junio de 2023, que incluía compartir sitios de fugas.

Cómo defenderse de LockBit

Los autores del aviso recomiendan que las organizaciones tomen medidas consistentes con un conjunto de objetivos desarrollados por CISA y el Instituto Nacional de Estándares y Tecnología, que constituyen prácticas y protecciones mínimas. En la consulta, se recomendó que la estrategia de la cadena de eliminación se enumere como se describe en MITRE ATT&CK, con el primer punto de la cadena de eliminación en primer lugar.

El aviso identificó tres eventos principales de la cadena de muerte:

  • acceso iniciallos participantes de la red están encontrando su camino hacia la red.
  • consolidar y prepararcuando el participante intenta acceder a todos los dispositivos.
  • impacto en las metaslos atacantes pueden robar y cifrar datos y luego exigir un rescate.

Para abordar el problema de acceso inicial, el aviso recomienda que las organizaciones usen navegadores en la zona de pruebas para proteger los sistemas del malware de la navegación web, y señala que los navegadores en la zona de pruebas aíslan los hosts del código malicioso.

Los autores también recomiendan exigir que todas las cuentas que usan contraseñas para iniciar sesión sigan los estándares NIST para establecer y administrar políticas de contraseñas. Entre otras mitigaciones de acceso inicial recomendadas por los autores:

  • Aplique filtros en las puertas de enlace de correo electrónico para filtrar correos electrónicos maliciosos y bloquear direcciones IP sospechosas.
  • Instale un firewall de aplicaciones web.
  • Segmente su red para evitar la propagación de ransomware.

Mitigaciones para otros eventos en la cadena de eliminación de LockBit

implementar

  • Se desarrolla un mapa completo de la red y se actualiza periódicamente.
  • Controla y limita las conexiones de red.
  • Habilite el registro mejorado de PowerShell.
  • Asegúrese de que la instancia de PowerShell esté configurada con la versión más reciente y con el módulo, el bloque de secuencias de comandos y el registro de transcripciones habilitados.
  • Active el registro de eventos de Windows de PowerShell y el registro operativo de PowerShell con un período de retención de al menos 180 días.
  • Configure el Registro de Windows para que requiera que el Control de cuentas de usuario apruebe cualquier operación de PsExec que requiera privilegios de administrador.

escalada de privilegios

  • Deshabilite la línea de comandos y las actividades y permisos de secuencias de comandos.
  • Habilite Credential Guard para proteger las credenciales de su sistema Windows.
  • Si su sistema operativo es anterior a Windows Server 2023 y Windows 10, implemente una solución de contraseña de administrador local si es posible.

esquiva defensiva

  • Aplique políticas de seguridad locales para controlar la ejecución de aplicaciones con listas blancas estrictas.
  • Establezca listas de permisos de aplicaciones de aplicaciones de software y binarios aprobados.

acceso con credencial

  • Restrinja el uso de NTLM a través de políticas de seguridad y firewalls.

Descubrir

  • Los puertos que no se utilizan con fines comerciales están deshabilitados.

movimiento lateral

  • Identifique las rutas de control de Active Directory y elimine las más críticas.
  • Identifique, detecte e investigue la actividad inusual y el posible cruce de ransomware específico utilizando herramientas de monitoreo de red.

comando y control

  • Implemente un modelo en capas mediante la creación de zonas de confianza dedicadas a los activos más confidenciales de la organización.
  • Las organizaciones deberían considerar pasar a una arquitectura de confianza cero. El acceso VPN no debe considerarse una zona de red de confianza.

penetración

  • Utilice un proxy de seguridad de la capa de transporte para bloquear las conexiones a sistemas maliciosos conocidos.
  • Utilice el filtrado web o un proxy de seguridad de acceso a la nube para restringir o controlar el acceso a los servicios públicos de uso compartido de archivos.

Influencia

  • Implemente un plan de recuperación para mantener y conservar varias copias de datos y servidores confidenciales o de propiedad exclusiva en ubicaciones seguras, segmentadas y separadas físicamente.
  • Mantenga copias de seguridad fuera de línea de los datos y mantenga copias de seguridad y restauraciones con regularidad al menos una vez al día o una vez a la semana.
  • Asegúrese de que todos los datos de respaldo estén encriptados, sean inmutables y abarquen la infraestructura de datos de toda la organización.

LEER  Cómo conectar un nuevo host al servidor de monitoreo Zabbix
Etiquetas
0 0 7 minutos de lectura

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba