Cómo protegerse de la nueva versión del ransomware LockBit 3.0
Una protección eficaz contra el ransomware implica bloquear el endpoint y evitar que el malware siga expandiéndose a cada paso en la cadena de ataque, pero nunca a expensas del usuario final.
LockBit, el famoso ransomware que bloquea el acceso de los usuarios a los sistemas informáticos para luego pedir un rescate no ha dejado de evolucionar. De hecho, LockBit se llegó a transformar en un programa de afiliados de RaaS, un modelo de suscripción que permite a los ciberdelincuentes comprar ransomware estándar de los desarrolladores.
Después del lanzamiento de LockBit 3.0 el pasado mes de junio bajo el eslogan: “Make Ransomware Great Again” y de haber sido responsable por el 40% de los ataques durante el mes de mayo de 2022; la última versión se ha hecho todavía más reconocida por explotar la vulnerabilidad Log4j y aprovecharse de un reconocido antivirus para evadir la detección.
Con el objetivo de ayudar a las organizaciones a fortalecer las defensas contra ransomware, un reciente análisis de CyberArk Labs destaca tres características de LockBit 3.0 a tener en cuenta:
- En marzo de 2022, los investigadores de Microsoft publicaron un informe sobre errores críticos en LockBit 2.0, lo que contribuyó a la aparición de la versión 3.0. Con un programa de recompensas por errores, el grupo LockBit está trabajando para controlar sus propias vulnerabilidades de malware y evitar que los investigadores reviertan el impacto del ransomware.
- Cuenta con protecciones anti-análisis. Uno de los cambios más significativos fue la introducción de un código de acceso único para cada muestra de LockBit 3.0. Sin el código de acceso, la muestra no se ejecutará, de tal manera que no es posible analizar el malware de forma dinámica sin una contraseña. Unas medidas contra el análisis que se están convirtiendo en una potencial tendencia, por lo que los investigadores prevén que pronto puedan ser adoptadas por otros grupos de ransomware.
- Nuevas técnicas de living off the land (LotL) que convierten en armas cualquier herramienta crítica de seguridad. Recientes informes señalan que los actores de LockBit 3.0 obtienen acceso inicial a través de la vulnerabilidad Log4j, empleando nuevas tácticas para armar herramientas de seguridad legítimas que, a menudo, operan fuera de los controles de seguridad instalados y evaden la detección por EDR y las herramientas antivirus tradicionales.
Esto remarca la necesidad de controles y políticas de detección de amenazas que ayuden a identificar y bloquear actividades sospechosas que puedan estar vinculadas a Log4j u otras vulnerabilidades.
Cada versión nueva de LockBit 3.0 es una oportunidad para cambiar la situación y que los ciberdelincuentes de ransomware sigan evolucionando sus enfoques. Por eso, una protección eficaz contra el ransomware implica bloquear el endpoint y evitar que el malware siga expandiéndose.
Adoptar un conjunto correcto de defensas de múltiples capas, incluidos los controles de seguridad de endpoints, puede ayudar a conseguir un equilibrio entre la seguridad y la productividad. A la vez que se protegen los endpoints mientras se automatizan las elevaciones de privilegios para los usuarios finales, de manera transparente, con el objetivo de desmantelar la cadena de ataque.