Las últimas versiones del ransomware LockBit tienen capacidades de gusanos

El cártel de ransomware LockBit detrás del reciente ataque de software avanzado: NHS continúa evolucionando y actualizando su malware de casillero, incorporando una nueva funcionalidad de gusanos que le permite autopropagarse, lo que facilita su uso, y capacidades de ofuscación que le permiten imitar la actividad de probadores de penetración legítimos.

Los agentes de la unidad de Detección y Respuesta Administrada (MDR) de Sophos estudiaron minuciosamente la evidencia de filtraciones y una serie de ataques y encontraron evidencia de que los creadores de LockBit han estado experimentando con secuencias de comandos que le permiten autopropagarse usando Objetos de Política de Grupo (GPO) de Windows o PSExec. herramienta, que dicen que facilita que el ransomware se mueva lateralmente e infecte otras computadoras.

De manera crítica, dijo el equipo de MDR, esto reduciría sustancialmente el trabajo preliminar técnico requerido para que los afiliados de LockBit infecten a sus víctimas, acelerando el tiempo de ejecución del ransomware. También se ejecuta con permisos, lo que significa que un afiliado no necesita necesariamente acceso de nivel de administrador a su víctima para causar daño.

La ingeniería inversa de LockBit 3.0, que se lanzó a principios de este año, también reveló que el ransomware ha adoptado nuevos comportamientos que dificultan que los investigadores lo analicen correctamente. Por ejemplo, los afiliados ahora deben ingresar una contraseña de 32 caracteres en la línea de comando del binario de ransomware cuando lo inician, o no se ejecutará.

Sophos también postuló un vínculo más fuerte que nunca con el grupo BlackMatter, y señaló múltiples similitudes que sugieren que LockBit está reutilizando el código BlackMatter, en particular un truco anti-depuración que oculta las funciones internas llamadas de los investigadores, medios similares de ofuscación de cadenas, ocultación de hilos, enumeración Nombres de host DNS, verificación y configuración del sistema operativo. Ambos también envían notas de rescate a cualquier impresora disponible que puedan encontrar.

Más contenido para leer:  BlackMatter deja constancia de los enlaces DarkSide y REvil

El investigador principal de Sophos, Andrew Brandt, escribió: “Algunos investigadores han especulado que la estrecha relación entre LockBit y el código de BlackMatter indica un posible reclutamiento de miembros de BlackMatter por parte de LockBit, una compra del código base de BlackMatter o una colaboración entre desarrolladores. Como señalamos en nuestro documento técnico sobre múltiples atacantes a principios de este año, no es raro que los grupos de ransomware interactúen, ya sea sin darse cuenta o deliberadamente.

“De cualquier manera, estos hallazgos son una prueba más de que el ecosistema de ransomware es complejo y fluido. Los grupos reutilizan, toman prestado o roban las ideas, el código y las tácticas de los demás según les convenga. Y, como el sitio de filtraciones de LockBit 3.0, que contiene, entre otras cosas, una recompensa por errores y una recompensa por ‘ideas brillantes’, sugiere que la pandilla en particular no es reacia a pagar por la innovación”.

Curiosamente, Brandt y el equipo de MDR también descubrieron que es cada vez más difícil distinguir la actividad de LockBit 3.0 del trabajo de los probadores de penetración legítimos.

Encontraron evidencia de que LockBit 3.0 está usando un paquete de GitHub conocido como Backstab, cuya función es sabotear las herramientas del centro de operaciones de seguridad, además del uso ahora prácticamente estándar del marco de trabajo en equipo rojo Cobalt Strike y el rastreador de contraseñas Mimikatz.

También se ha observado el uso de GMER, un detector y eliminador de rootkits, la herramienta AV Remover de ESET y varios scripts de PowerShell que buscan eliminar los propios productos de Sophos de los sistemas.

Más contenido para leer:  Ericsson, Telefónica ink memorandum of understanding for Open RAN cloud evolution

“Es seguro asumir que los actores de amenazas experimentados están al menos tan familiarizados con Sophos Central y otras herramientas de consola como los usuarios legítimos de esas consolas, y saben exactamente dónde ir para debilitar o deshabilitar el software de protección de punto final”, dijo Brandt.

“De hecho, en al menos un incidente que involucró a un actor de amenazas de LockBit, observamos que descargaban archivos que, por sus nombres, parecían tener la intención de eliminar la protección de Sophos”.

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales