El ransomware LockBit 2.0 intensifica su actividad, también en España

Revisando la actividad de varios grupos de ransomware en lo que llevamos de año, no podemos decir que los delincuentes se hayan dormido en los laureles precisamente. A pesar de que 2021 terminó con varios arrestos de miembros de grupos de ransomware conocidos, los criminales que hay detrás han seguido realizando ataques durante las primeras semanas de 2022 e incluso hemos visto cómo han aparecido nuevos actores.

LockBit 2.0 continúa muy activo

Entra las familias de ransomware que más actividad están teniendo en este inicio de año encontramos a LockBit 2.0, que empezó a ser utilizado por los criminales en septiembre de 2019 y que el verano pasado recibió una “actualización” a su versión 2.0. Esta amenaza, como muchas otras actualmente, tiene un modelo de ransomware como servicio y utiliza la doble extorsión, donde las víctimas no solo ven cómo se cifran los archivos almacenados en sus sistemas, sino que los delincuentes también los extorsionan amenazando con publicar la información robada.

De hecho, las webs que utilizan estos grupos de ransomware para publicar el listado de víctimas y la información que han robado ya se han convertido en algo de visita obligada por muchos investigadores para ver quiénes son las nuevas víctimas que cada día se publican en ellas. En el momento de escribir estas líneas, podemos observar como en la web de LockBit 2.0 hay un largo listado de víctimas, entre las que también encontramos empresas y organizaciones españolas.

La variedad de víctimas de ransomware es muy amplia, y en el caso de LockBit 2.0 podemos encontrar empresas grandes y pequeñas, así como también organizaciones gubernamentales y ayuntamientos. Entre las víctimas recientes de LockBit 2.0 también encontramos PayBito, un Exchange de criptomonedas del cual los delincuentes habrían conseguido una base de datos con datos personales de más de 100.000 usuarios de todo el mundo, así como también información personal de los administradores.

Debido a la intensificación de los ataques perpetrados por los delincuentes que utilizan este ransomware como servicio, el FBI ha proporcionado detalles técnicos e indicadores de compromiso asociados con LockBit 2.0. Entre las novedades incorporadas en los últimos meses encontramos un notable esfuerzo para tratar de reclutar trabajadores de las empresas a las que se quiere atacar, para que les proporcionen acceso remoto a la red interna mediante VPN y RDP. También se ha observado que en enero de 2022, los responsables de esta amenaza desarrollaron una versión para sistemas Linux con servidores VMware ESXi como objetivo.

Consejos para evitar caer víctimas del ransomware

A pesar de que durante estos últimos años hemos hablado largo y tendido sobre la peligrosidad del ransomware para todo tipo de empresas y organizaciones, analizado cuáles son sus objetivos y puertas de entrada favoritos e incluso los días en los que se suelen producir más de estos ataques, aún son muchas las empresas que desconocen las medidas básicas que debemos aplicar para protegernos y mitigar el alcance de un ataque de este tipo.

Por ese motivo, nunca está de más repasar estas medidas de seguridad para revisar si las estamos aplicando y, en caso de no estar haciéndolo, comenzar a aplicarlas lo antes posible:

• Proteger todas las cuentas con contraseñas difíciles de adivinar por fuerza bruta. Esto incluye tanto las cuentas de correo electrónico como las credenciales usadas para acceder remotamente a la red corporativa, incluyendo RDP y VPN.
• Configurar un doble factor de autenticación para evitar el acceso no autorizado en el caso de que se filtren o nos roben esas credenciales.
• Evitar conceder más permisos de los necesarios a los usuarios, teniendo especial cuidado con los permisos de administrador, y en el caso de que sean necesarios, implementar limitación de acceso por tiempo.
• Mantener las aplicaciones y el sistema operativo actualizados para evitar que los atacantes se aprovechen de vulnerabilidades.
• Segmentar las redes para evitar que el ransomware se propague por todos los sistemas de la empresa.
• Si es posible, contar con una solución EDR que permita identificar, investigar y responder ante cualquier actividad sospechosa que pueda estar relacionada con un ciberataque, aunque se estén empleando herramientas legítimas del sistema.
• Deshabilitar la ejecución de scripts y herramientas como PowerShell en aquellos sistemas en los que no sea necesario.
• Contar con varias copias de seguridad, en formatos y localizaciones diferentes, realizadas de forma periódica y revisando que pueden ser restauradas sin problemas en caso de necesitarlas.

Estas recomendaciones nos pueden ayudar a evitar un ataque de ransomware o, como mínimo, hacer que su impacto sea lo más leve posible. También es importante recordar que aquellas empresas que ceden al chantaje de los delincuentes y realizan el pago para recuperar su información y evitar que se filtre están financiando esta actividad. En ocasiones, las víctimas no tendrán otro remedio que realizar el pago, y aunque esto no les garantice recuperar toda su información, es importante que informen a las autoridades para que se puedan realizar las investigaciones pertinentes.

Conclusión

No hay indicios que indiquen que el ransomware vaya a desaparecer a corto o medio plazo, y aunque las operaciones policiales para tratar de detener a los responsables de estas amenazas se han intensificado en los últimos meses, aún estamos lejos de considerarla un riesgo menor para empresas y organizaciones de todo tipo. Por ese motivo, es muy recomendable implementar las recomendaciones comentadas y, de esta forma, ponerle las cosas más difíciles a los delincuentes.

Josep Albors