LockBit: ¿Qué es y por qué están en riesgo los equipos macOs?
LockBit está probando activamente su ransomware en varias plataformas, lo que indica una expansión inminente de los ataques.
LockBit, un grupo de ransomware más utilizado a nivel mundial, actualizó su operación con funcionalidades multiplataforma, específicamente para el secuestro de archivos en computadoras con sistemas macOS.
LockBit ganó notoriedad por sus implacables ataques contra empresas alrededor del mundo, incluyendo América Latina.
De acuerdo con la CISA, una agencia gubernamental estadounidense, LockBit ha obtenido ganancias estimadas en 91 millones de dólares por el resultado de rescates pagados por empresas víctimas de ataques en ese país durante los últimos tres años.
Este video te puede interesar
Este contexto refuerza la conclusión del informe de Kaspersky que destaca la determinación del grupo por ampliar su alcance y maximizar el impacto sobre sus víctimas.
¿Quieres emprender en el Metaverso? Estos son los riesgos y desafíos en ciberseguridad
Marc Rivero, investigador de seguridad del Equipo Investigación y Análisis Global de Kaspersky, destaca LockBit es un grupo de ransomware muy activo y conocido por sus devastadores ciberataques a empresas de todo el mundo.
“Con sus continuas mejoras de infraestructura y la incorporación de código de otros grupos de ransomware, representa una amenaza significativa y en evolución para las organizaciones en múltiples industrias”.
Técnicas perfeccionadas
En sus inicios, LockBit operaba ataques encubiertos, ejerciendo tácticas de doble extorsión o exfiltración de datos antes de cifrar la información y los sistemas de sus víctimas.
Sin embargo, el grupo ha desarrollado continuamente su infraestructura y medidas de seguridad para proteger sus activos frente a diversas amenazas, incluidos los ataques a sus sistemas afiliados y los ataques distribuidos de denegación de servicio (DDoS).
La comunidad de ciberseguridad ha observado que LockBit está adoptando el código de otros grupos de ransomware como BlackMatter y DarkSide.
Esta táctica estratégica, además de simplificar las operaciones para posibles afiliados, amplía la posibilidad de iniciar una infección de LockBit.
Arquitecturas múltiples
De hecho, hallazgos recientes del Threat Attribution Engine (KTAE) de Kaspersky señalan que el grupo ha incorporado aproximadamente el 25% del código utilizado por la ahora desaparecida banda de ransomware Conti, resultando en una nueva variante conocida como LockBit Green.
En un avance significativo, los investigadores de Kaspersky descubrieron un archivo ZIP que contiene muestras de LockBit diseñadas específicamente para múltiples arquitecturas, incluidas Apple M1, ARM v6, ARM v7, FreeBSD y más.
Tras un análisis e investigación exhaustivos con KTAE, se confirmó que estas muestras se originaron a partir de la versión de LockBit Linux/ESXi observada anteriormente.
Si bien algunas muestras, como la variante de macOS, requieren una configuración adicional y no están firmadas correctamente, es evidente que LockBit está probando activamente su ransomware en varias plataformas, lo que indica una expansión inminente de los ataques.
Ciberseguridad preocupa a 9 de cada 10 mexicanos
Recomendaciones para proteger a las empresas contra ataques de LockBit:
- Mantener siempre actualizado el software de todos los dispositivos que se utilicen para evitar que los atacantes aprovechen las vulnerabilidades y se infiltren en su red.
- Centrar la estrategia de defensa en la detección de movimientos laterales y fugas de datos a Internet. Es importante prestar especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes en su red.
- Configurar copias de seguridad fuera de línea que los intrusos no puedan manipular y asegurarse de poder acceder a ellas rápidamente cuando sea necesario o en caso de emergencia.
- Activar la protección contra ransomware en todos los endpoints.
- Instalar soluciones anti-APT y EDR que permitan descubrir, detectar e investigar amenazas avanzadas y neutralizar rápidamente los incidentes. Es importante brindar a su equipo SOC acceso a la información actualizada sobre amenazas y mejorar sus habilidades periódicamente con capacitación profesional.
- Proporcionar a su equipo SOC acceso a la inteligencia de amenazas (TI) más reciente.
