LockBit es uno de los ransomware más notorios y ha causado numerosos ataques en los últimos años. Según lo informado por INCIBE, el Instituto Nacional de Ciberseguridad de España, esta amenaza apareció en 2020 y ha evolucionado constantemente. Cada nueva versión ha integrado técnicas novedosas para conseguir su objetivo de cifrar archivos. Actualmente, con su versión LockBit 5.0, es más amenazante que nunca, por lo que es crucial tomar medidas de protección.
Recientemente, analistas de seguridad de ASEC en Corea del Sur, en un informe publicado el 5 de enero, han advertido sobre cómo este ransomware como servicio (RaaS) ha incrementado su peligrosidad y está diseñado para que los cibercriminales cifren una amplia variedad de archivos. Se ha consolidado como una verdadera amenaza, con un cifrado mejorado y características avanzadas de anti-análisis, lo que complica su detección y la recuperación de archivos.
LockBit 5.0, una amenaza inminente
En un ataque de ransomware, los cibercriminales tienen como objetivo principal cifrar los archivos. Por ejemplo, pueden cifrar todo el contenido de los ordenadores de una empresa, impidiendo su uso normal. Esto puede resultar en la paralización total de las operaciones de una organización. Sin embargo, también puede afectar a usuarios particulares. A cambio de restaurar el acceso, exigen un pago, conocido como rescate.
LockBit es un ransomware que opera como servicio. Esto implica que un atacante puede adquirir el kit, teniendo todo lo necesario para comenzar a atacar a potenciales víctimas. Realiza una inversión inicial para luego recibir el dinero por los rescates mencionados.
Los expertos de ASEC han destacado que LockBit 5.0 ofrece una mayor flexibilidad en el tiempo de ejecución. Puede funcionar sin problemas, incluso cuando se ejecuta sin parámetros específicos. Además, el malware tiene la capacidad de finalizar procesos relacionados con el servicio de instantáneas, lo que impide los intentos de recuperación del sistema y complica el análisis de seguridad.
Un aspecto importante a mencionar, fundamental en el ransomware, es que emplea algoritmos criptográficos de última generación que combinan ChaCha20-Poly1305 para el cifrado de archivos y X25519 junto a BLAKE2b para el intercambio seguro de claves. Esto hace que la recuperación de archivos cifrados solo con la información local del sistema sea prácticamente imposible.
Técnicas sofisticadas
Utiliza un mecanismo de cifrado avanzado. LockBit 5.0 ahora elimina sistemáticamente los archivos temporales de las rutas estándar de Windows, incluyendo los directorios AppDataLocalTemp, lo que permite borrar datos de caché innecesarios y acelera el proceso de cifrado.
Además, se ha observado que el malware puede desactivar servicios críticos del sistema mediante valores hash codificados, lo que le permite atacar soluciones de copias de seguridad y servicios de actualización de Microsoft. Esto elimina las medidas de protección que podrían estar en su lugar.
Los investigadores también han indicado que el cifrado se realiza a través de un complejo proceso matemático. El malware genera dos números aleatorios de 32 bytes, basados en la hora del sistema y la información de la memoria.
A través de criptografía de curva elíptica, puede obtener la clave privada de la víctima, generar las claves públicas y calcular un valor secreto compartido que combina la clave privada de la víctima con la clave pública del atacante.
Por lo tanto, con todos estos elementos, estamos ante una amenaza mucho más sofisticada y peligrosa que en sus inicios. LockBit 5.0 es un ransomware que puede afectar gravemente la operativa de cualquier organización que se vea comprometida.
Cómo protegerte
Para protegerte, lo primero que debes hacer es comprender cómo puede llegar LockBit 5.0 a tu sistema. Esto puede ocurrir a través de un archivo adjunto o enlace malicioso en un correo electrónico, mediante un archivo infectado que descargues de Internet, o a través de alguna vulnerabilidad no corregida en tu sistema.
Por ende, mantener el sentido común es crucial. Desconfía siempre de correos electrónicos que recibas. Ten cuidado con enlaces sospechosos, archivos inesperados y asuntos que inciten a la urgencia. Los atacantes utilizan estrategias para que termines haciendo clic en lugares peligrosos.
Asimismo, es fundamental que tengas todo correctamente actualizado. Asegúrate de contar con la última versión de tu sistema operativo y de cualquier aplicación que utilices a diario. Esto te ayudará a corregir fallos que podrían ser la puerta de entrada de cibercriminales.
Además, proteger al máximo tus cuentas, el acceso a los sistemas, VPN y cualquier servicio en la nube que utilices es esencial. Asegúrate de usar contraseñas complejas y únicas, y habilita la autenticación en dos pasos, lo que añade una capa adicional de seguridad.
Contar con copias de seguridad es vital para defenderte del ransomware. Si tus archivos son cifrados, siempre tendrás una copia a salvo en otro lugar. Te recomendamos seguir la técnica de copias de seguridad 3-2-1.
Preguntas frecuentes
¿Cuál es el objetivo del ransomware?
Los atacantes buscan cifrar los archivos de un equipo, lo que impide que la víctima use su dispositivo normalmente y exigen un rescate económico para restaurar el acceso.
¿Evita un antivirus el ransomware?
Contar con un antivirus puede ser útil para detectar y eliminar malware. Sin embargo, no es infalible ante todas las amenazas. Por lo tanto, aunque es importante tener programas de seguridad, el sentido común y mantener todo actualizado son igualmente esenciales.
¿Es necesario pagar el rescate en un ataque de ransomware?
Los expertos en ciberseguridad desaconsejan el pago. No garantiza que recuperarás el control sobre tu equipo y, además, fomenta que los cibercriminales continúen lanzando ataques similares.
