Ransomware LockBit 4.0

Publicado hace 2 semanas 23-12-2024

Las familias de ransomware tienden a mejorar sus capacidades con el tiempo y están en constante evolución para evadir métodos de detección o generar un mayor impacto, por lo que pueden surgir variaciones del ransomware principal o nuevas versiones.

LockBit es un grupo de ransomware que ha tenido varias transformaciones, apareciendo por primera vez en 2020 con su versión inicial. Tiempo después, en 2021, actualizaron esta versión con mejores capacidades y tácticas, dando lugar a LockBit 2.0. Esta mejora se reflejó en la cantidad de víctimas que cobró durante el tiempo en que estuvo operando, logrando posicionarse como uno de los grupos más peligrosos. Para 2022, el grupo lanzó otra actualización, naciendo así LockBit 3.0. En esta versión alcanzó su punto más alto de peligrosidad, aumentando más del 90% el total de víctimas, lo que lo llevó a posicionarse como el ransomware con más víctimas del mundo.

En febrero de 2024, LockBit sufrió un duro golpe por parte de las autoridades internacionales, quienes lograron incautar muchos de sus servidores y desmantelar la mayor parte de su infraestructura delictiva, reduciendo considerablemente su actividad. Además, en mayo de ese mismo año, se identificó al líder de la operación, Dmitry Yuryevich Khoroshev. Esto provocó un aumento momentáneo en los ataques del grupo, aunque posteriormente su actividad decayó considerablemente. Sin embargo, al tomar los servidores de LockBit, se encontró lo que parecía ser un proyecto para actualizar el ransomware a su versión 4.0, pasando de estar programado en C/C++ a una versión en .NET.

La muestra encontrada carecía de características importantes, como la propagación automática en una red o la impresión de notas de rescate en impresoras, aspectos que estaban presentes en versiones anteriores. Esto era comprensible, dado que se trataba de un proyecto en desarrollo. El nombre clave del proyecto era "LockBit-NG-Dev", y parecía que nunca se llegarían a conocer las capacidades de esta versión, ya que LockBit perdió protagonismo en 2024, siendo superado por RansomHub, que ahora lidera en cantidad de ataques durante ese año.

LockBit ha anunciado su regreso mediante una publicación en su página de filtraciones, promocionando su nueva versión: LockBit 4.0. Aún no se sabe mucho sobre esta versión, pero podría significar el regreso de uno de los grupos de ransomware más peligrosos de todos los tiempos. Al hacer clic en el anuncio de esta nueva versión, se muestra una página con un contador que apunta a febrero de 2025, fecha en la que aparentemente está prevista la liberación del ransomware. Esto es un aspecto importante por considerar, ya que no se trata de cualquier ransomware. Cabe mencionar que no se sabe quién está detrás de este anuncio es el propio Dmitry o algún afiliado al proyecto.


Imagen del sitio de filtraciones de Lockbit con el anuncio de su nueva actualización.

Recomendaciones

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
  • Auditar herramientas de acceso remoto. (NIST CSF, 2024)
  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad. (NIST CSF, 2024)
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactor.

Referencias

  1. Toulas, B. (2024. Febrero 22 13) LockBit ransomware secretly building next-gen encryptor before takedown. Recuperado el 19 de diciembre del 2024 en: https://www.bleepingcomputer.com/news/security/lockbit-ransomware-secretly-building-next-gen-encryptor-before-takedown/
  2. Scroxton, A. (2024, Diciembre 19 LockBit ransomware gang teases February 2025 return. Recuperado el 19 de diciembre del 2024 en: https://www.computerweekly.com/news/366617379/LockBit-ransomware-gang-teases-February-2025-return

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad en Windows LDAP
Publicado hace 6 días 06-01-2025

El pasado 10 de diciembre, Microsoft publicó su lista de vulnerabilidades en su denominado “Patch Tuesday”. En este se abordaban diferentes vulnerabilidades de diversas criticidades; algunas destacaban más que otras debido a su impacto y probabilidad de......

Ransomware Funksec
Publicado hace 2 semanas 26-12-2024

Se ha identificado un nuevo ransomware denominado Funksec, detectado en diciembre de 2024. En tan solo los primeros 10 días del mes, ya ha afectado a 31 víctimas.  El primer ataque registrado de Funksec ocurrió el 4 de diciembre del mismo año,......

Ransomware LockBit 4.0
Publicado hace 2 semanas 23-12-2024

Las familias de ransomware tienden a mejorar sus capacidades con el tiempo y están en constante evolución para evadir métodos de detección o generar un mayor impacto, por lo que pueden surgir variaciones del ransomware principal o nuevas versiones.......

BOLETINES RECIENTES

...
Vulnerabilidad en Windows LDAP
Publicado hace 6 días 06-01-2025
Leer más
...
Ransomware Funksec
Publicado hace 2 semanas 26-12-2024
Leer más
...
Ransomware LockBit 4.0
Publicado hace 2 semanas 23-12-2024
Leer más