Adaptación del articulo “LockBit Ransomware Group Augments Its Latest Variant, LockBit 3.0, With BlackMatter Capabilities”  https://www.trendmicro.com/es_es/research/22/g/lockbit-ransomware-group-augments-its-latest-variant–lockbit-3-.html

Proton launches new bug bounty program with partner Bug Bounty Switzerland | Proton

LockBit es un grupo de ransomware que opera bajo el modelo de ransomware-as-a-service (RaaS), que ha estado activo desde 2019 y también es uno de los grupos con mayor cantidad de víctimas en el ransomware de la escena del crimen, incluidas organizaciones de Brasil, México y Perú.

En marzo de 2022, menos de un año después de que apareciera por primera vez LockBit 2.0, los investigadores se enteraron de una nueva variante próxima del ransomware LockBit. LockBit 3.0, también conocido como «LockBit Black», el cual, no se dio a conocer sino hasta finales de junio junto al lanzamiento de su sitio web y su programa de recompensa por errores. Desde entonces, un investigador ha compartido una muestra de LockBit 3.0, junto con su análisis inicial de la nueva variante.

Usando la utilidad de identificador de empaquetador Detect It Easy, encontramos que esta muestra particular de LockBit 3.0 es un archivo Win32.exe con varias secciones empaquetadas con un empaquetador desconocido. Según la fuente original de la muestra, el malware utiliza este argumento para su ejecución:

{04830965-76E6-6A9A-8EE1-6AF7499C1D08}.exe -k LocalServiceNetworkRestricted -pass db66023ab2abcb9957fb01ed50cdfa6a

Luego la muestra de LockBit 3.0 suelta un archivo .ico con el mismo nombre del archivo adjunto a los cifrados en la carpeta %PROGRAMDATA%.

Similitudes con el ransomware BlackMatter

Los investigadores han señalado que partes del código de LockBit 3.0 parecen haber sido tomadas del ransomware BlackMatter, de ahí el apodo de LockBit Black. Asimismo, se encontraron similitudes entre BlackMatter y la nueva variante de LockBit durante la depuración de la muestra de LockBit 3.0.

A partir del examen realizado por el equipo de Trend Micro de la muestra desempaquetada y un análisis proporcionado por el investigador Chuong Dong, lograron descubrir que LockBit 3.0 requiere un parámetro de paso para descifrar su rutina principal. Se ha observado que otras familias de ransomware como Egregor exhiben este mismo comportamiento, donde se requiere un argumento para continuar con la rutina. Esto hace que el binario sea más difícil de revertir si el parámetro no está disponible.

Bloqueo de ataques de ransomware

El grupo LockBit lideró la escena del ransomware como servicio (RaaS) en el primer trimestre de 2022, con 220 ataques exitosos de extorsión y RaaS autoinformados. Según los informes, en enero se produjo un ataque que ocupó los titulares, durante el cual los operadores de LockBit afirmaron haber violado el Ministerio de Justicia de Francia. No sería sorprendente que algunos de los afiliados de BlackMatter se hubieran unido a las filas del grupo LockBit, considerando su reciente aumento de notoriedad, lo que explicaría las muchas similitudes entre las dos piezas de ransomware.

Indicadores de compromiso

A continuación, se relacionan los indicadores de compromisos con su respectiva firma de detección de malware de Trend Micro.

Recomendaciones

Las organizaciones pueden beneficiarse de un enfoque de varias capas que puede ayudar a proteger posibles puntos de entrada a un sistema (punto final, correo electrónico, web y red), las cuales serán detalladas a continuación:

  • Trend Micro Vision One™ brinda protección multicapa y detección de comportamiento, lo que ayuda a bloquear comportamientos sospechosos en una etapa temprana del sistema antes de que una infección de ransomware pueda causar daños irreversibles.
  • Trend Micro™ Deep Discovery™ Email Inspector utiliza sandboxing personalizado y técnicas de análisis avanzadas para bloquear correos electrónicos maliciosos, incluidos los correos electrónicos de phishing que son puntos de entrada comunes para el ransomware.
  • Trend Micro Apex One™ ofrece detección y respuesta de amenazas automatizadas para proteger los endpoints de problemas más avanzados, como amenazas sin archivos (fileless) y ransomware.
  • Trend Micro Workload Security, ofrece detección y respuesta de amenazas automatizadas para proteger los servidores (on premise y nube) de problemas más avanzados, como amenazas sin archivos (fileless) y ransomware.
  • Lumu Insights, esta solución se encarga de reunir, normalizar y analizar un amplio rango de metadata, incluyendo DNS, Netflows, registros de acceso a proxys, firewalls y Spambox. El nivel de visibilidad que brinda Lumu a partir del análisis de estas fuentes de datos, permite entender el comportamiento de la red de su empresa y obtener evidencia su nivel único de compromiso.