TLP: White
Nivel de riesgo: [Alto]

Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organización.

Vector de ataque: Red, servicios VPN principalmente.
Impacto: La infección exitosa de un equipo con este programa malicioso puede ocasionar que un usuario malintencionado cifre la información de la organización.

Descripción

Expertos en seguridad han identificado una campaña maliciosa relacionada con un programa del tipo ransomware denominado “Lockbit”, el cual anteriormente se conocía por el nombre de “.abcd”. El programa malicioso fue identificado por primera vez en septiembre de 2019, y ha estado comprometiendo a dispositivos a lo largo de todo el mundo, afectando de manera principal a Estados Unidos, Europa y Asia.

LockBit es un programa malicioso del tipo RaaS (Ransomware-as-a-Service), donde los desarrolladores de este obtienen un porcentaje del 25% al 40% por el pago del rescate, y el resto lo reciben los afiliados. Una característica que diferencia a LockBit de otro ransomware, es que el atacante puede estar conectado un breve período de tiempo hasta cargar el programa malicioso.

En el análisis de LockBit, se identificó que la infección se inicia comprometiendo un servicio desactualizado de VPN mediante un ataque de fuerza bruta, accediendo a una cuenta con privilegios de administrador. Posteriormente se envían solicitudes ARP, para listar los hosts, y hacer un reconocimiento de red y cuando se encuentra un dispositivo, se inicia una conexión por SMB para conectarse a ellos y realizar un movimiento lateral.

Después, el atacante usa el servidor interno de acceso remoto de Microsoft (RAS) para ingresar a los sistemas a través de la cuenta LocalSystem de Windows (cuenta que tiene mayores privilegios). A partir de ahí, lanza un comando de PowerShell para descargar LockBit y ejecutarlo. Este comando obtiene un archivo .png de un sitio web malicioso, el cual puede ser descargado principalmente de alguno de los siguientes recursos:

  • hxxps://espet[.]se/images/rs35[.]png
  • hxxps://espet[.]se/images/rs40[.]png

El archivo .png no es una imagen sino el encabezado de un ejecutable .NET.

Cuando el atacante accede a la cuenta de administrador, puede comenzar a descargar el ransomware a cada host conectado a la red. Las investigaciones informan que LockBit puede cifrar la información de hasta 25 servidores y 255 dispositivos en un tiempo promedio de tres horas.

Actualmente, se dice que los desarrolladores de LockBit están amenazando a las victimas, diciendo que si no pagan el rescate se publicará la información obtenida en Internet. Debido a su reciente nacimiento y a su crecimiento, se espera que LockBit desarrolle una capacidad cada vez más alta de sofisticación, aumentando sus ataques en número y expandiéndose con nuevos usuarios.

Nivel de riesgo

  • Alto

Indicadores de compromiso IoCs

A continuación se listan los IoCs identificados hasta el momento, relacionados con el programa malicioso reportado en esta alerta.

  • SHA-256
    • 0a937d4fe8aa6cb947b95841c490d73e452a3cafcd92645afc353006786aba76
    • 0e66029132a885143b87b1e49e32663a52737bbff4ab96186e9e5e829aa2915f
    • 0f178bc093b6b9d25924a85d9a7dde64592215599733e83e3bbc6df219564335
    • 0f5d71496ab540c3395cfc024778a7ac5c6b5418f165cc753ea2b2befbd42d51
    • 13849c0c923bfed5ab37224d59e2d12e3e72f97dc7f539136ae09484cbe8e5e0
    • 15a7d528587ffc860f038bb5be5e90b79060fbba5948766d9f8aa46381ccde8a
    • 1b109db549dd0bf64cadafec575b5895690760c7180a4edbf0c5296766162f18
    • 1e3bf358c76f4030ffc4437d5fcd80c54bd91b361abb43a4fa6340e62d986770
    • 26b6a9fecfc9d4b4b2c2ff02885b257721687e6b820f72cf2e66c1cae2675739
    • 286bffaa9c81abfb938fe65be198770c38115cdec95865a241f913769e9bfd3f
    • 2b8117925b4b5b39192aaaea130426bda39ebb5f363102641003f2c2cb33b785
    • 3f29a368c48b0a851db473a70498e168d59c75b7106002ac533711ca5cfabf89
    • 410c884d883ebe2172507b5eadd10bc8a2ae2564ba0d33b1e84e5f3c22bd3677
    • 4acc0b5ed29adf00916dea7652bcab8012d83d924438a410bee32afbcdb995cc
    • 5072678821b490853eff0a97191f262c4e8404984dd8d5be1151fef437ca26db
    • 5b9bae348788cd2a1ce0ba798f9ae9264c662097011adbd44ecfab63a8c4ae28
    • 69d9dd7fdd88f33e2343fb391ba063a65fe5ffbe649da1c5083ec4a67c525997
    • 6fedf83e76d76c59c8ad0da4c5af28f23a12119779f793fd253231b5e3b00a1a
    • 70cb1a8cb4259b72b704e81349c2ad5ac60cd1254a810ef68757f8c9409e3ea6
    • 76a77def28acf51b2b7cdcbfaa182fe5726dd3f9e891682a4efc3226640b9c78
    • 83ab7a2bcac146db472f3b930c01af5b6d3d978ead7b14a9d0ac16e1a76e9f9d
    • 9bc98d15f243257c1b5bca59464abe68c680cd5482ba9f5082201dde41a016cf
    • a0085da4a920e92d8f59fefa6f25551655ca911382b5e34df76a9333ac8b7214
    • a03326ac8efa930e10091a374d40ddab9f7c2f12246d6ef7983bad93256f1f3a
    • a08fbf01d02097094b725101309b2bf7fefc2e27724654b840b87e091aa5c9b9
    • a1360645cf3113715cc023d2e4cf9f6f3a6278abcf4499f0ba7cd76c82839eb0
    • c8205792fbc0a5efc6b8f0f2257514990bfaa987768c4839d413dd10721e8871
    • ca57455fd148754bf443a2c8b06dc2a295f014b071e3990dd99916250d21bc75
    • ce8559871b410e23057393eb2d9fb76ec902da2ff1f8006ad312c81852a41f6f
    • e3f236e4aeb73f8f8f0caebe46f53abbb2f71fa4b266a34ab50e01933709e877
    • ec88f821d22e5553afb94b4834f91ecdedeb27d9ebfd882a7d8f33b5f12ac38d
    • faa3453ceb1bd4e5b0b10171eaa908e56e7275173178010fcc323fdea67a6869
    • ffbb6c4d8d704a530bdd557890f367ad904c09c03f53fda5615a7208a0ea3e4d
  • URLs relacionadas con esta campaña:
    • hxxps://espet[.]se/images/rs35[.]png
    • hxxps://espet[.]se/images/rs40[.]png
  • Nombres de archivos:
    • rs35[.]png
    • rs40[.]png
  • Correos electrónicos
    • Ondrugs[@]firemail[.]cc
  • Llaves de registro:
    • SOFTWARE \ LockBit \ full
    • SOFTWARE \ LockBit \ Public

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Habilitar la autenticación multifactor en los distintos sistemas y dispositivos que así lo permitan, dando prioridad a los servicios de VPN.
  • Limitar a solo los servicios necesarios la exposición de los mismos en Internet.
  • Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
  • Mostrar extensiones para tipos de archivos conocidos, con el fin de identificar posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de archivo.
  • Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
  • Realizar copias de seguridad de manera periódica de la información crítica de la organización.
  • Aplicar las actualizaciones de seguridad de forma regular en dispositivos de hardware y software.
  • Limitar el uso del protocolo SMB a servicios que lo requieran por su operación.
  • Utilizar contraseñas robustas en los diferentes entornos empresariales.

Referencias