Tras un reciente incidente, el equipo de Respuesta de Emergencias Globales de Kaspersky alerta sobre un ataque del leaked builder, LockBiten. Con él los adversarios crearon su propia variante de malware de cifrado, equipada con funcionalidades de autopropagación. Los cibercriminales vulneraron la infraestructura, explotando credenciales de administrador privilegiado robadas.
El último incidente en África Occidental, concretamente en Guinea-Bisáu, reveló que el ransomware personalizado emplea técnicas que no se habían visto anteriormente. Es capaz de crear un efecto avalancha incontrolable, con hosts infectados que intentan propagar el malware dentro de la red de la víctima.
“El leaked builder LockBit 3.0 fue filtrado en 2022, pero los atacantes aún lo usan activamente para crear versiones personalizadas, sin la necesidad de tener habilidades avanzadas de programación. Esta flexibilidad brinda a los adversarios muchas oportunidades para mejorar la efectividad de sus ataques, como muestra el caso reciente. Esto hace que estos tipos de ataques sean aún más peligrosos, considerando la frecuencia creciente de fugas de credenciales corporativas”, asegura Cristian Souza, especialista en respuesta a incidentes del Equipo de Respuesta de Emergencias Globales de Kaspersky.
Además, Kaspersky observó que los atacantes utilizaron el script SessionGopher para localizar y extraer contraseñas guardadas para conexiones remotas en los sistemas afectados.
Los incidentes que implican diversos tipos de técnicas basadas en LockBit 3.0, pero que carecen de la capacidad de autopropagación y suplantación de identidad encontradas en Guinea-Bisáu, se producen regularmente en diversas industrias y regiones. Se han observado en Rusia, Chile e Italia, y es posible que la geografía de los ataques siga ampliándose.
Los productos de Kaspersky detectan la amenaza con los siguientes veredictos:
- Trojan-Ransom.Win32.Lockbit.gen
- Trojan.Multi.Crypmod.gen
- Trojan-Ransom.Win32.Generic
El script SessionGopher se detecta como:
- HackTool.PowerShell.Agent.l
- HackTool.PowerShell.Agent.ad
LockBit es un grupo de ciberdelincuentes que ofrece ransomware como servicio (RaaS). En febrero de 2024, una operación policial internacional se hizo con el control del grupo. Pocos días después de la operación, el grupo de ransomware anunció desafiante que volvía a la acción.
