Lockbit 2.0 ransomware

Por CagedTech en Ransomware

Traducir a:

LockBit Ransomware surgió en el panorama del malware en septiembre de 2019, cuando se ofreció en un esquema RaaS (Ransomware-as-a-Service). Los operadores de la amenaza buscaban afiliados que llevaran a cabo los ataques de ransomware reales y luego dividieran las ganancias: los afiliados embolsarían alrededor del 70-80% de los fondos, mientras que el resto se entregaría a los creadores de LockBit.

La operación se ha mantenido bastante activa desde su lanzamiento, con los representantes del grupo detrás de la amenaza manteniendo presencia en los foros de hackers. Cuando varios foros prominentes decidieron distanciarse de los esquemas de ransomware y prohibieron las discusiones sobre tales temas, LockBit pasó a un sitio de filtración de datos recién creado. Allí, los ciberdelincuentes dieron a conocer la próxima versión de su amenazante creación: LockBit 2.0, que también se ofrecería como RaaS. La versión 2.0 cuenta con capacidades dañinas masivamente expandidas con los piratas informáticos que incorporan múltiples características que han surgido en otras familias de ransomware anteriormente. Además de eso, la amenaza está equipada con una técnica nunca antes vista que le permite abusar de las políticas de grupo para cifrar los dominios de Windows automáticamente.

LockBit 2.0 exhibe técnicas novedosas

LockBit 2.0 sigue siendo un ransomware y, como tal, su objetivo es infectar tantos dispositivos conectados a la red violada como sea posible, antes de cifrar los datos almacenados allí y exigir un rescate. Sin embargo, en lugar de depender de herramientas de código abierto de terceros, que es la práctica estándar en estas operaciones, LockBit 2.0 automatizó su distribución y medidas anti-seguridad. Tras su ejecución, la amenaza creará varias políticas de grupo nuevas en el controlador de dominio, que se entregarán posteriormente a todas las máquinas conectadas a la red comprometida. A través de estas políticas, el malware puede deshabilitar la función de protección real de Microsoft Defender, así como las alertas, las acciones predeterminadas y las muestras que generalmente se envían a Microsoft al detectar un intruso no deseado. También establece una tarea programada para lanzar su ejecutable.

El siguiente paso de la operación es que el archivo ejecutable de LockBit 2.0 se copia en el escritorio de cada dispositivo detectado. La tarea programada creada anteriormente la iniciará mediante la implementación de una omisión de UAC (Control de cuentas de usuario). Este método permite que LockBit 2.0 se mueva a través de su programación de manera sigilosa, sin activar ninguna alerta que pueda atraer la atención del usuario.

Cuando se completa el proceso de cifrado, LockBit 2.0 activa una función que se observó anteriormente como parte de las amenazas de Egregor Ransomware. Implica obligar a todas las impresoras conectadas a la red a arrojar la nota de rescate de la amenaza sin cesar.