Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organización.
Descripción
Expertos en seguridad han identificado una campaña maliciosa relacionada con un programa del tipo ransomware denominado “Lockbit”, el cual anteriormente se conocía por el nombre de “.abcd”. El programa malicioso fue identificado por primera vez en septiembre de 2019, y ha estado comprometiendo a dispositivos a lo largo de todo el mundo, afectando de manera principal a Estados Unidos, Europa y Asia.
LockBit es un programa malicioso del tipo RaaS (Ransomware-as-a-Service), donde los desarrolladores de este obtienen un porcentaje del 25% al 40% por el pago del rescate, y el resto lo reciben los afiliados. Una característica que diferencia a LockBit de otro ransomware, es que el atacante puede estar conectado un breve período de tiempo hasta cargar el programa malicioso.
En el análisis de LockBit, se identificó que la infección se inicia comprometiendo un servicio desactualizado de VPN mediante un ataque de fuerza bruta, accediendo a una cuenta con privilegios de administrador. Posteriormente se envían solicitudes ARP, para listar los hosts, y hacer un reconocimiento de red y cuando se encuentra un dispositivo, se inicia una conexión por SMB para conectarse a ellos y realizar un movimiento lateral.
Después, el atacante usa el servidor interno de acceso remoto de Microsoft (RAS) para ingresar a los sistemas a través de la cuenta LocalSystem de Windows (cuenta que tiene mayores privilegios). A partir de ahí, lanza un comando de PowerShell para descargar LockBit y ejecutarlo. Este comando obtiene un archivo .png de un sitio web malicioso, el cual puede ser descargado principalmente de alguno de los siguientes recursos:
- hxxps://espet[.]se/images/
rs35[.]png - hxxps://espet[.]se/images/
rs40[.]png
El archivo .png no es una imagen sino el encabezado de un ejecutable .NET.
Cuando el atacante accede a la cuenta de administrador, puede comenzar a descargar el ransomware a cada host conectado a la red. Las investigaciones informan que LockBit puede cifrar la información de hasta 25 servidores y 255 dispositivos en un tiempo promedio de tres horas.
Actualmente, se dice que los desarrolladores de LockBit están amenazando a las victimas, diciendo que si no pagan el rescate se publicará la información obtenida en Internet. Debido a su reciente nacimiento y a su crecimiento, se espera que LockBit desarrolle una capacidad cada vez más alta de sofisticación, aumentando sus ataques en número y expandiéndose con nuevos usuarios.
Nivel de riesgo
- Alto
Indicadores de compromiso IoCs
A continuación se listan los IoCs identificados hasta el momento, relacionados con el programa malicioso reportado en esta alerta.
- SHA-256
- 0a937d4fe8aa6cb947b95841c490d7
3e452a3cafcd92645afc353006786a ba76 - 0e66029132a885143b87b1e49e3266
3a52737bbff4ab96186e9e5e829aa2 915f - 0f178bc093b6b9d25924a85d9a7dde
64592215599733e83e3bbc6df21956 4335 - 0f5d71496ab540c3395cfc024778a7
ac5c6b5418f165cc753ea2b2befbd4 2d51 - 13849c0c923bfed5ab37224d59e2d1
2e3e72f97dc7f539136ae09484cbe8 e5e0 - 15a7d528587ffc860f038bb5be5e90
b79060fbba5948766d9f8aa46381cc de8a - 1b109db549dd0bf64cadafec575b58
95690760c7180a4edbf0c529676616 2f18 - 1e3bf358c76f4030ffc4437d5fcd80
c54bd91b361abb43a4fa6340e62d98 6770 - 26b6a9fecfc9d4b4b2c2ff02885b25
7721687e6b820f72cf2e66c1cae267 5739 - 286bffaa9c81abfb938fe65be19877
0c38115cdec95865a241f913769e9b fd3f - 2b8117925b4b5b39192aaaea130426
bda39ebb5f363102641003f2c2cb33 b785 - 3f29a368c48b0a851db473a70498e1
68d59c75b7106002ac533711ca5cfa bf89 - 410c884d883ebe2172507b5eadd10b
c8a2ae2564ba0d33b1e84e5f3c22bd 3677 - 4acc0b5ed29adf00916dea7652bcab
8012d83d924438a410bee32afbcdb9 95cc - 5072678821b490853eff0a97191f26
2c4e8404984dd8d5be1151fef437ca 26db - 5b9bae348788cd2a1ce0ba798f9ae9
264c662097011adbd44ecfab63a8c4 ae28 - 69d9dd7fdd88f33e2343fb391ba063
a65fe5ffbe649da1c5083ec4a67c52 5997 - 6fedf83e76d76c59c8ad0da4c5af28
f23a12119779f793fd253231b5e3b0 0a1a - 70cb1a8cb4259b72b704e81349c2ad
5ac60cd1254a810ef68757f8c9409e 3ea6 - 76a77def28acf51b2b7cdcbfaa182f
e5726dd3f9e891682a4efc3226640b 9c78 - 83ab7a2bcac146db472f3b930c01af
5b6d3d978ead7b14a9d0ac16e1a76e 9f9d - 9bc98d15f243257c1b5bca59464abe
68c680cd5482ba9f5082201dde41a0 16cf - a0085da4a920e92d8f59fefa6f2555
1655ca911382b5e34df76a9333ac8b 7214 - a03326ac8efa930e10091a374d40dd
ab9f7c2f12246d6ef7983bad93256f 1f3a - a08fbf01d02097094b725101309b2b
f7fefc2e27724654b840b87e091aa5 c9b9 - a1360645cf3113715cc023d2e4cf9f
6f3a6278abcf4499f0ba7cd76c8283 9eb0 - c8205792fbc0a5efc6b8f0f2257514
990bfaa987768c4839d413dd10721e 8871 - ca57455fd148754bf443a2c8b06dc2
a295f014b071e3990dd99916250d21 bc75 - ce8559871b410e23057393eb2d9fb7
6ec902da2ff1f8006ad312c81852a4 1f6f - e3f236e4aeb73f8f8f0caebe46f53a
bbb2f71fa4b266a34ab50e01933709 e877 - ec88f821d22e5553afb94b4834f91e
cdedeb27d9ebfd882a7d8f33b5f12a c38d - faa3453ceb1bd4e5b0b10171eaa908
e56e7275173178010fcc323fdea67a 6869 - ffbb6c4d8d704a530bdd557890f367
ad904c09c03f53fda5615a7208a0ea 3e4d
- 0a937d4fe8aa6cb947b95841c490d7
- URLs relacionadas con esta campaña:
- hxxps://espet[.]se/images/
rs35[.]png - hxxps://espet[.]se/images/
rs40[.]png
- hxxps://espet[.]se/images/
- Nombres de archivos:
- rs35[.]png
- rs40[.]png
- Correos electrónicos
- Ondrugs[@]firemail[.]cc
- Llaves de registro:
- SOFTWARE \ LockBit \ full
- SOFTWARE \ LockBit \ Public
Medidas de contención
- Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
- Habilitar la autenticación multifactor en los distintos sistemas y dispositivos que así lo permitan, dando prioridad a los servicios de VPN.
- Limitar a solo los servicios necesarios la exposición de los mismos en Internet.
- Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
- Mostrar extensiones para tipos de archivos conocidos, con el fin de identificar posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de archivo.
- Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
- Realizar copias de seguridad de manera periódica de la información crítica de la organización.
- Aplicar las actualizaciones de seguridad de forma regular en dispositivos de hardware y software.
- Limitar el uso del protocolo SMB a servicios que lo requieran por su operación.
- Utilizar contraseñas robustas en los diferentes entornos empresariales.
Referencias
- https://www.mcafee.com/blogs/
other-blogs/mcafee-labs/tales- from-the-trenches-a-lockbit- ransomware-story/ - https://www.bleepingcomputer.
com/news/security/lockbit- ransomware-self-spreads-to- quickly-encrypt-225-systems/ - https://unaaldia.hispasec.com/
2020/04/el-ransomware-lockbit- toma-ejemplo-de-revil-y-maze- para-mantenerse-actualizado. html - https://news.sophos.com/en-us/
2020/04/24/lockbit-ransomware- borrows-tricks-to-keep-up- with-revil-and-maze/ - https://github.com/sophoslabs/
IoCs/blob/master/Ransomware- LockBit