La Oficina Federal de Investigaciones (FBI), la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC), de los Estados Unidos han publicado el aviso de ciberseguridad conjunto (CSA) #StopRansomware: LockBit 3.0.
El CSA detalla los Indicadores de Compromiso (IOC) así como las tácticas, técnicas y procedimientos para ayudar a las organizaciones a protegerse contra el ransomware, y que las investigaciones del FBI correlacionaron con el ransomware LockBit 3.0 en marzo de 2023.
LockBit 3.0 trabaja en el modelo de afiliados de Ransomware-as-a-Service (RaaS), desde enero de 2020. También conocido como “LockBit Black”, LockBit 3.0 es más modular y evasivo que sus versiones anteriores y comparte similitudes con Blackmatter y Blackcat ransomware.
El aviso de ciberseguridad plantea los detalles técnicos de LockBit 3.0, destacando su capacidad de autoconfigurarse para determinar el comportamiento del ransomware. Para acceder a las víctimas, el ransomware explota el protocolo de escritorio remoto (RDP), el compromiso dirigido, las campañas de phishing, el abuso de cuentas válidas, y la explotación de aplicaciones. Si los privilegios no son suficientes, LockBit 3.0 intenta escalar a los privilegios requeridos.
Las recomendaciones de mitigación de LockBit 3.0 son:
- Implementar un plan de recuperación para mantener y conservar múltiples copias de datos confidenciales o de propiedad y servidores en una ubicación segura, segmentada y separada físicamente.
- Requerir todas las cuentas de inicio de sesión con contraseña.
- Requerir autenticación multifactor resistente al phishing.
- Mantener todos los sistemas operativos, software y firmware actualizados.
- Segmentar redes.
- Identificar, detectar e investigar la actividad anormal y el posible cruce del ransomware indicado con una herramienta de monitoreo de redes.
- Instalar, actualizar regularmente y habilitar la detección en tiempo real para el software antivirus.
- Revisar los controladores de dominio, los servidores, las estaciones de trabajo y los directorios activos en busca de cuentas nuevas o no reconocidas.
- Auditar cuentas de usuario con privilegios administrativos y configurar controles de acceso según el principio de mínimo privilegio.
- Deshabilitar los puertos no utilizados.
- Considerar agregar un banner de correo electrónico a los correos electrónicos.
- Deshabilitar hipervínculos en los correos electrónicos recibidos.
- Implementar el acceso basado en el tiempo para las cuentas establecidas en el nivel de administrador y superior.
- Deshabilitar las actividades y los permisos de línea de comandos y secuencias de comandos.
- Mantener copias de seguridad fuera de línea de los datos.
- Asegurar que todos los datos de respaldo estén encriptados e inmutables.
Consulte el CSA #StopRansomware: LockBit 3.0.