El robo, la extorsión y la suplantación de identidad abundan en línea, y cada mes miles de personas son víctimas de diversas estafas y ataques. Uno de esos métodos de ataque utiliza un tipo de ransomware llamado LockBit 3.0. Entonces, ¿de dónde viene este ransomware, cómo se utiliza y qué puedes hacer para protegerte?
¿De dónde viene LockBit 3.0?
BloqueoBit 3.0
LockBit 3.0 (también conocido como LockBit Black) es una familia de ransomware nacida de la familia de ransomware LockBit. Se trata de un grupo de programas ransomware que se descubrieron por primera vez en septiembre de 2019, después de que se produjera la primera ola de ataques. Inicialmente, LockBit se llamaba "virus .abcd", pero en ese momento no se sabía que los creadores y usuarios de LockBit continuarían creando nuevas versiones del programa ransomware original.
La familia de ransomware LockBit se propaga por sí sola, pero solo ataca a determinadas víctimas, principalmente aquellas que pueden permitirse pagar un gran rescate. Quienes utilizan el ransomware LockBit a menudo compran acceso al Protocolo de escritorio remoto (RDP) en la web oscura para poder acceder a los dispositivos de las víctimas de forma más remota y sencilla.
Los operadores de LockBit se han dirigido a múltiples organizaciones en todo el mundo desde su primer uso, incluidos el Reino Unido, EE. UU., Ucrania y Francia. Esta familia de programas maliciosos utiliza un modelo de ransomware como servicio (RaaS), en el que los usuarios pueden pagar a los operadores para obtener acceso a un determinado tipo de ransomware. Esto suele implicar algún tipo de registro. A veces, los usuarios pueden incluso comprobar las estadísticas para ver si el uso del ransomware LockBit fue exitoso o no.
No fue hasta 2021 que LockBit se convirtió en un ransomware popular, a través de LockBit 2.0 (el predecesor de la cepa de ransomware actual). En este punto, las bandas que utilizaban este ransomware decidieron adoptar un modelo de extorsión dual. Esto implica tanto el cifrado como la exfiltración (o transferencia) de los archivos de la víctima a otro dispositivo. Este método de ataque adicional hace que toda la situación sea más aterradora para el individuo u organización objetivo.
El tipo más reciente de ransomware LockBit identificado es LockBit 3.0. Entonces, ¿cómo funciona LockBit 3.0 y cómo se utiliza hoy en día?
¿Qué es LockBit 3.0?
LockBit 3.0 puede cifrar y filtrar todos los archivos del dispositivo infectado
A finales de la primavera de 2022, se descubrió una nueva versión del grupo de ransomware LockBit: LockBit 3.0. Como programa de ransomware, LockBit 3.0 puede cifrar y filtrar todos los archivos de un dispositivo infectado, lo que permite a los atacantes mantener como rehenes los datos de la víctima hasta que se pague el rescate solicitado. Este ransomware está actualmente proliferando y causando mucha preocupación.
El flujo de un ataque típico de LockBit 3.0 es:
1. LockBit 3.0 infecta el dispositivo de la víctima, cifra archivos y adjunta la extensión de archivo cifrado "HLjkNskOq".
2. Luego, se necesita una clave de argumento de línea de comando llamada "-pass" para realizar el cifrado.
3. LockBit 3.0 crea muchos subprocesos diferentes para realizar múltiples tareas simultáneamente, de modo que el cifrado de datos se pueda completar en menos tiempo.
4. LockBit 3.0 elimina ciertos servicios o funciones para facilitar mucho el proceso de cifrado y filtrado.
5. Se utiliza una API para contener el acceso a la base de datos del administrador de control de servicios.
6. Se cambia el fondo de pantalla de la computadora de la víctima para que sepa que está siendo atacada.
Si las víctimas no pagan el rescate dentro del período de tiempo permitido, los atacantes de LockBit 3.0 venderán los datos que robaron en la web oscura a otros ciberdelincuentes. Esto puede ser desastroso tanto para la víctima como para la organización.
Al momento de escribir este artículo, LockBit 3.0 explota principalmente Windows Defender para implementar Cobalt Strike . Este software también puede provocar una cadena de infecciones de malware en varios dispositivos.
Durante este proceso, se explota la herramienta de línea de comandos MpCmdRun.exe para que el atacante pueda descifrar y lanzar advertencias. Esto se hace engañando al sistema para que priorice y cargue una DLL (biblioteca de enlaces dinámicos) maliciosa.
Windows Defender utiliza el archivo ejecutable MpCmdRun.exe para buscar malware, protegiendo así el dispositivo de archivos y programas dañinos. Cobalt Strike puede eludir las medidas de seguridad de Windows Defender, por lo que se ha vuelto muy útil para los atacantes de ransomware.
Esta técnica también se conoce como descarga y permite a los delincuentes robar datos de dispositivos infectados.
¿Cómo prevenir el ransomware LockBit 3.0?
LockBit 3.0 es una preocupación creciente, especialmente entre las grandes organizaciones con una gran cantidad de datos que pueden cifrarse y extraerse. Es importante asegurarse de evitar este tipo de ataques peligrosos.
Para hacer esto, primero debes asegurarte de utilizar contraseñas súper seguras y autenticación de dos factores en todas tus cuentas. Esta capa adicional de seguridad puede dificultar que los ciberdelincuentes lo ataquen con ransomware. Por ejemplo, considere los ataques de ransomware del Protocolo de Escritorio Remoto. En tal caso, el atacante escaneará Internet en busca de conexiones RDP vulnerables. Entonces, si su conexión está protegida con contraseña y utiliza 2FA, es mucho menos probable que sea un objetivo.
Además, siempre debes mantener actualizado el sistema operativo y el programa antivirus de tu dispositivo. Las actualizaciones de software pueden llevar mucho tiempo y ser molestas, pero hay una razón por la que existen. Estas actualizaciones a menudo vienen con correcciones de errores y funciones de seguridad adicionales para mantener su dispositivo y sus datos protegidos, así que no pierda la oportunidad de actualizar su dispositivo.
Otra medida importante a tomar para evitar ataques de ransomware es realizar copias de seguridad de los archivos. A veces, los atacantes de ransomware retendrán información importante que usted necesita por diversos motivos, por lo que tener una copia de seguridad mitigará el daño hasta cierto punto. Las copias sin conexión, como las almacenadas en memorias USB, pueden ser muy valiosas cuando se roban o eliminan datos de su dispositivo.
Medidas tras ser infectado con ransomware
Si bien las sugerencias anteriores pueden protegerlo del ransomware LockBit, aún es posible infectarlo. Por lo tanto, si descubre que su computadora ha sido infectada con el virus LockBit 3.0, es importante no actuar apresuradamente. Hay pasos que puede seguir para eliminar el ransomware de su dispositivo y que debe seguir atentamente.
También debes notificar a las autoridades si eres víctima de un ataque de ransomware. Esto ayuda a las partes interesadas a comprender y abordar mejor ciertos tipos de ransomware.
Nadie sabe cuántas veces más se utilizará el ransomware LockBit 3.0 para amenazar y explotar a las víctimas. Por eso es importante proteger sus dispositivos y cuentas de todas las formas posibles para que sus datos confidenciales permanezcan seguros.
¿Ves una notificación de activación de Windows 10 en la esquina derecha de la pantalla? Este artículo le guiará sobre cómo eliminar el aviso de solicitud de derechos de autor en Windows 10.
Recientemente, Microsoft lanzó la última actualización acumulativa para usuarios de PC con Windows 10 llamada Build 14393.222. Esta actualización lanzada para Windows 10 corrige principalmente errores basados en los comentarios de los usuarios y mejora la experiencia de rendimiento del sistema operativo.
¿Tiene computadoras en su red local que necesitan acceso externo? Usar un host bastión como guardián de su red puede ser una buena solución.
A veces es posible que necesites eliminar todos los registros de eventos antiguos a la vez. En esta guía, Quantrimang.com le mostrará 3 formas de eliminar rápidamente todos los registros de eventos en el Visor de eventos de Windows 10.
Si prefiere usar un teclado clásico antiguo, como el IBM Modelo M, que no incluye una tecla física de Windows, existe un método sencillo para agregar más, tomando prestada una tecla que no usa con frecuencia.
WindowTop es una herramienta que tiene la capacidad de atenuar todas las ventanas de aplicaciones y programas que se ejecutan en computadoras con Windows 10. O puede usar una interfaz de fondo oscuro en Windows.
En muchos artículos anteriores hemos mencionado que permanecer anónimo en línea es extremadamente importante. Cada año se filtra información privada, lo que hace que la seguridad en línea sea cada vez más necesaria. Esa es también la razón por la que deberíamos utilizar direcciones IP virtuales. ¡A continuación, aprenderemos sobre métodos para crear IP falsas!
La barra de idioma en Windows 8 es una barra de herramientas de idioma en miniatura diseñada para mostrarse automáticamente en la pantalla del escritorio. Sin embargo, mucha gente quiere ocultar esta barra de idioma en la barra de tareas.
Maximizar la velocidad de Internet es esencial para optimizar su conexión de red. Podrás tener una óptima experiencia de entretenimiento y trabajo utilizando computadoras, televisores con acceso a Internet, consolas de juegos, etc.
La conectividad inalámbrica es una necesidad hoy en día y, por eso, la seguridad inalámbrica es esencial para garantizar la seguridad en su red interna.
