La Oficina Federal de Investigaciones (FBI) ha publicado una nueva advertencia sobre LockBit 2.0. recomendar que las empresas habiliten la autenticación multifactor (MFA) y usen contraseñas seguras y únicas para todas las cuentas de administrador y de alto valor para frustrar la tensión del ransomware que utiliza uno de los grupos de ataque más activos en Internet en la actualidad.
MFA es vital para proteger contra contraseñas de usuarios y administradores comprometidas, pero Microsoft descubrió que el 78% de las organizaciones que usan Azure Active Directory no habilitan MFA.
LockBit 2.0 apunta a las PC con Windows y ahora también a los servidores Linux a través de errores en las máquinas virtuales ESXi de VMWare, y ha afectado al gigante de servicios y consultoría tecnológica Accenture y al Ministerio de Justicia de Francia, entre otros.
VER: Ciberseguridad: pongámonos tácticos (Informe especial de MarketingyPublicidad.es)
Los operadores de LockBit usan cualquier método disponible para comprometer una red, siempre que funcione. Estos incluyen, pero no se limitan a, comprar acceso a una red ya comprometida de «corredores de acceso», explotar errores de software sin parches e incluso pagar por acceso interno, así como usar exploits para fallas de día cero previamente desconocidas, según el Informe del FBI.
Las técnicas del grupo continúan evolucionando. El FBI dice que los operadores de LockBit han comenzado a anunciar información privilegiada en una empresa objetivo para ayudarlos a establecer el acceso inicial a la red. A los iniciados se les prometió una parte de las ganancias de un ataque exitoso. Un mes antes, comenzó a cifrar automáticamente los dispositivos en los dominios de Windows al abusar de las políticas de grupo en Active Directory.
Después de comprometer una red, LockBit usa herramientas de prueba de penetración como Mimikatz para aumentar los privilegios y usar varias herramientas para extraer datos (para amenazar a las víctimas con una filtración si no pagan) antes de cifrar los archivos. LockBit siempre deja una nota de rescate con instrucciones sobre cómo obtener la clave de descifrado.
Al igual que otras operaciones de ransomware con sede en Rusia, LockBit 2.0 determina la configuración del idioma del sistema y del usuario y excluye a una organización del ataque si los idiomas son uno de los 13 idiomas de Europa del Este. El FBI enumera los códigos de idioma en LockBit 2.0 a febrero de 2022, como 2092 para azerí/cirílico y 1067 para armenio, que hacen que no se active.
«Si se detecta un idioma de Europa del Este, el programa sale sin infección», señala el FBI.
Lockbit 2.0 identifica y recopila el nombre de host, la configuración del host, la información del dominio, la configuración de la unidad local, los recursos compartidos remotos y los dispositivos de almacenamiento externo montados de un dispositivo infectado.
Luego intenta cifrar los datos guardados en cualquier dispositivo local o remoto, pero omite los archivos asociados con las funciones centrales del sistema, según el FBI. Después de esto, se elimina del disco y crea persistencia al inicio.
Además de exigir contraseñas seguras y únicas y MFA para correo web, VPN y cuentas para sistemas críticos, el FBI también recomienda una serie de mitigaciones, que incluyen mantener los sistemas operativos y el software actualizados y eliminar el acceso innecesario a los recursos compartidos administrativos. También recomienda usar un firewall basado en host y habilitar «archivos protegidos» en Windows, refiriéndose al acceso controlado a carpetas de Microsoft.
También recomienda que las empresas segmenten sus redes, investiguen cualquier actividad anormal, implementen acceso basado en tiempo para cuentas configuradas en el nivel de administrador y superior, deshabiliten las actividades y permisos de línea de comandos y secuencias de comandos y, por supuesto, mantengan copias de seguridad de datos fuera de línea.