PYMES en el punto de mira: Sophos presenta su último estudio sobre el ransomware LockBit. Se destacan dos técnicas: primero, usar herramientas automatizadas para infectar cierto software de impuestos y contabilidad en redes pirateadas con ransomware, y segundo, cambiar el nombre de los archivos de PowerShell para disfrazarse.
“Los atacantes de LockBit utilizan herramientas de ataque automatizadas para identificar objetivos prometedores”, resume Sean Gallagher, investigador sénior de amenazas de Sophos. El análisis revela cómo los delincuentes usan las herramientas de PowerShell para buscar aplicaciones comerciales específicas en redes pirateadas, incluido el software de impuestos y contabilidad. Si una huella digital generada por esta búsqueda coincide con los criterios de palabras clave, las herramientas realizan automáticamente una serie de tareas, incluido el lanzamiento del ataque LockBit.
Nuevos métodos de ataque identificados
Los investigadores también pudieron identificar una serie de nuevos vectores de ataque que permiten a LockBit evadir la detección. Esto incluye cambiar el nombre de los archivos de PowerShell y usar un Google Doc remoto para la comunicación de comando y control. Debido a la naturaleza altamente automatizada de los ataques, una vez lanzado, el ransomware puede propagarse por la red en cinco minutos, eliminando simultáneamente sus registros de actividad.
Los atacantes de LockBit apuntan específicamente a las empresas más pequeñas como víctimas
"El interés de LockBit en aplicaciones comerciales y palabras clave específicas indica que los atacantes claramente querían identificar sistemas que son valiosos para las empresas más pequeñas, sistemas que almacenan datos financieros y manejan las operaciones diarias, para presionar masivamente a las víctimas para que paguen", dijo Gallagher. . "Hemos visto que el ransomware congela las aplicaciones comerciales mientras se ejecutan, pero esta es la primera vez que los atacantes buscan tipos específicos de aplicaciones con un enfoque automatizado para identificar objetivos potenciales".
El grupo de ransomware LockBit sigue a facciones de ransomware como Ryuk
“La pandilla LockBit parece estar siguiendo a otros grupos cibernéticos, incluido Ryuk. Sophos descubrió recientemente que este grupo usaba Cobalt Strike. Estas son herramientas adaptadas desarrolladas para pruebas de penetración para automatizar y acelerar los ataques. En este caso, los scripts de PowerShell ayudan a los atacantes a identificar sistemas que alojan aplicaciones con datos particularmente valiosos. De esta manera, no quieren perder el tiempo con víctimas que tienen menos probabilidades de pagar”.
Uso indebido de herramientas legítimas y modificación de la protección antimalware
Los atacantes de LockBit intentan ocultar sus actividades haciéndolas parecer tareas administrativas automatizadas normales y utilizando herramientas legítimas: por ejemplo, los delincuentes crean copias encubiertas de los componentes de secuencias de comandos de Windows y luego usan el Programador de tareas de Windows para iniciarlos. Además, modifican la protección antimalware integrada para que ya no pueda funcionar.
“La única forma de defenderse contra este tipo de ataques de ransomware es a través de una defensa de múltiples capas con una implementación consistente de protección antimalware en todos los sistemas. Si los servicios se dejan desprotegidos o mal configurados, los atacantes pueden explotarlos fácilmente”, concluye Gallagher.
Más información en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.