Tecnología

El gobierno australiano advierte sobre la escalada de ataques de ransomware LockBit

El gobierno australiano advierte sobre la escalada de ataques de ransomware LockBit

El Centro Australiano de Seguridad Cibernética (ACSC) advierte sobre un aumento de los ataques de ransomware LockBit 2.0 contra organizaciones australianas a partir de julio de 2021.

«ACSC ha observado un aumento en la notificación de incidentes de ransomware LockBit 2.0 en Australia», dijo la agencia de ciberseguridad de Australia en un alerta de seguridad emitida el jueves.

Según la agencia, las víctimas de LockBit también informan amenazas de robo de datos durante los ataques filtrados online, una táctica conocida y popular entre las bandas de ransomware para obligar a sus objetivos a pagar los rescates.

Aumento del número de ataques desde julio

«La mayoría de las víctimas conocidas por la ACSC han sido reportadas después de julio de 2021, lo que indica un fuerte y significativo aumento de víctimas domésticas en comparación con otras variantes de ransomware rastreadas», la ACSC agregado.

«La ACSC ha observado que las afiliadas de LockBit implementan con éxito ransomware en sistemas corporativos en una variedad de sectores que incluyen servicios profesionales, construcción, manufactura, venta minorista y alimentos».

La agencia también publicó un perfil de ransomware con información adicional sobre el grupo LockBit, incluidos los indicadores de acceso inicial, los sectores objetivo y las medidas de mitigación.

Agregó que estos actores de amenazas son oportunistas y podrían apuntar a organizaciones de cualquier sector industrial. Por lo tanto, no estar incluido en la lista de sectores ya seleccionados no necesariamente indica que el objetivo de LockBit no cambiará a otras industrias.

El ACSC proporciona Mitigaciones centradas en LockBit TTP (Tácticas, Técnicas y Procedimientos), que incluyen:

  • habilitar la autenticación multifactor (MFA) en todas las cuentas para bloquear el uso de credenciales robadas
  • cifrar datos confidenciales en reposo para bloquear la exfiltración de información confidencial
  • segmentar las redes corporativas y restringir los privilegios de administrador para bloquear el movimiento lateral y los intentos de escalada de privilegios
  • mantener copias de seguridad diarias para reducir el impacto de un ataque exitoso
  • parchear los dispositivos Fortinet con conexión a Internet contra CVE-2018-13379, un error de seguridad muy explotado por LockBit para violar las redes

Se recomienda a las organizaciones afectadas por estos crecientes ataques de ransomware o que necesitan ayuda que se pongan en contacto con ACSC 1300 CYBER1 línea directa.

De LockBit a LockBit 2.0

La banda de ransomware LockBit comenzó a operar en septiembre de 2019 como ransomware-as-a-service (RaaS), reclutando actores de amenazas para violar redes y cifrar dispositivos.

Desde su lanzamiento, LockBit ha estado muy activo, con representantes de pandillas promocionando el RaaS y brindando apoyo en varios foros de piratería en ruso.

LockBit anunciado el LockBit 2.0 RaaS en junio de 2021 en su sitio de filtración de datos después de que se prohibieran los temas de ransomware en los foros de ciberdelincuencia [1, 2].

Si bien la alerta emitida por la agencia australiana de ciberseguridad implicaría que LockBit ha alcanzado niveles de actividad nunca antes vistos, la banda de ransomware está volviendo a acelerar sus motores luego de una desaceleración en los ataques desde enero de 2021, como lo muestra la cantidad de envíos de ID Ransomware. .

Envíos de ID Ransomware LockBit
Envíos de LockBit (ID Ransomware)

Este relanzamiento vino junto con sitios Tor rediseñados y funciones avanzadas, incluido el cifrado automático de dispositivos en todos los dominios de Windows utilizando políticas de grupo de Active Directory.

Con LockBit 2.0, la pandilla también está intentando eliminar a los intermediarios mediante la contratación de personas con información privilegiada que les proporcionarían acceso a las redes corporativas a través del Protocolo de escritorio remoto (RDP) y la Red privada virtual (VPN).

En noticias relacionadas, la ACSC y el FBI también advirtieron en mayo sobre ataques continuos y crecientes de ransomware Avaddon dirigidos a organizaciones de una amplia gama de sectores en todo el mundo.

Un mes después, la banda de ransomware Avaddon cerró las operaciones y entregó las claves de descifrado de sus víctimas a Bleeping Computer.

Leave a Comment

You may also like

Más