LockBit, el grupo de ransomware más utilizado a nivel global, ha mejorado su operación al incorporar funcionalidades multiplataforma para atacar computadoras con sistemas macOS de Apple, según un informe de Kaspersky. La agencia gubernamental estadounidense CISA reveló que LockBit ha obtenido ganancias de aproximadamente 91 millones de dólares en rescates pagados por empresas víctimas de sus ataques en los últimos tres años.
Inicialmente, LockBit utilizaba tácticas de doble extorsión y exfiltración de datos antes de cifrar la información y los sistemas de sus víctimas. Sin embargo, el grupo ha fortalecido su infraestructura y adoptado medidas de seguridad para proteger sus activos de diversas amenazas, incluyendo ataques a sus sistemas afiliados y ataques de denegación de servicio distribuido (DDoS).
La comunidad de ciberseguridad ha observado que LockBit está adoptando código de otros grupos de ransomware, como BlackMatter y DarkSide. Esta estrategia no solo simplifica las operaciones para posibles afiliados, sino que también amplía las posibilidades de iniciar una infección de LockBit. Recientes hallazgos del Threat Attribution Engine (KTAE) de Kaspersky indican que LockBit ha incorporado alrededor del 25% del código utilizado por el grupo Conti, ya desaparecido, lo que ha dado lugar a una nueva variante conocida como LockBit Green.
Un hallazgo significativo realizado por los investigadores de Kaspersky es el descubrimiento de muestras de LockBit diseñadas específicamente para diversas arquitecturas, incluyendo Apple M1, ARM v6, ARM v7 y FreeBSD. Tras un análisis exhaustivo, se confirmó que estas muestras se originaron a partir de una versión anterior de LockBit para Linux/ESXi. Aunque algunas muestras, como la variante de macOS, requieren configuraciones adicionales y no están firmadas correctamente, queda claro que LockBit está probando activamente su ransomware en varias plataformas, lo que indica una inminente expansión de los ataques. Este desarrollo resalta la necesidad urgente de robustas medidas de ciberseguridad en todas las plataformas y de una mayor conciencia dentro de la comunidad empresarial.
“LockBit es un grupo de ransomware muy activo y conocido por sus devastadores ciberataques a empresas de todo el mundo. Con sus continuas mejoras de infraestructura y la incorporación de código de otros grupos de ransomware, representa una amenaza significativa y en evolución para las organizaciones en múltiples industrias. Es imperativo que las empresas refuercen sus defensas, actualicen regularmente sus sistemas de seguridad, capaciten a los empleados sobre las mejores prácticas de ciberseguridad y establezcan protocolos de respuesta a incidentes para mitigar de manera efectiva los riesgos que plantean LockBit y grupos de ransomware similares”, comenta Marc Rivero, investigador principal de seguridad del Equipo Investigación y Análisis Global de Kaspersky.
Cómo protegerse del ransomware
Kaspersky comparte las siguientes recomendaciones para que las empresas se protejan de los ataques de ransomware:
- Mantener siempre actualizado el software de todos los dispositivos que se utilicen para evitar que los atacantes aprovechen las vulnerabilidades y se infiltren en su red.
- Centrar la estrategia de defensa en la detección de movimientos laterales y fugas de datos a Internet. Es importante prestar especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes en su red. Configurar copias de seguridad fuera de línea que los intrusos no puedan manipular y asegurarse de poder acceder a ellas rápidamente cuando sea necesario o en caso de emergencia.
- Activar la protección contra ransomware en todos los endpoints.
- Instalar soluciones anti-APT y EDR que permitan descubrir, detectar e investigar amenazas avanzadas y neutralizar rápidamente los incidentes. Es importante brindar a su equipo SOC acceso a la información actualizada sobre amenazas y mejorar sus habilidades periódicamente con capacitación profesional.
- Proporcionar a su equipo SOC acceso a la inteligencia de amenazas (TI) más reciente. Kaspersky Threat Intelligence Portal es un único punto de acceso que ofrece información y datos sobre ataques cibernéticos recopilados por nuestro equipo durante los últimos 20 años.
Escucha Dale Play en Spotify. Sigue el programa todos los lunes en nuestras plataformas de audio disponibles.