El FBI ha emitido un informe flash [PDF] que detalla indicadores de compromiso (IOC) vinculados al ransomware LockBit 2.0. Un COI es una prueba encontrado durante el análisis forense digital que indica que una red o computadora puede haber sido violada.
LockBit 2.0 ransomware
LockBit 2.0 es un ejemplo de ransomware como servicio (RaaS). El FBI dice que este malware de alquiler utiliza una amplia variedad de tácticas, técnicas y procedimientos para atacar los sistemas. Ejemplos de cómo se infiltra en las redes incluyen vulnerabilidades sin parches, exploits de día cero, soborno a un empleado o al propio empleado que implementa el ransomware.
Una vez dentro de una red, utiliza herramientas disponibles públicamente para escalar sus privilegios del sistema. Luego, los ataques utilizan otras herramientas para robar datos y luego cifran el sistema. Se deja una nota de rescate dentro de cada directorio afectado con instrucciones para recibir la clave de engaño. Estas técnicas son estándar para ransomware y no exclusivas de LockBit 2.0.
El ransomware fue programado para evitar ciertos sistemas. Determina la configuración de idioma del sistema y del usuario y solo se dirige a aquellos que no coinciden con una lista establecida de idiomas de Europa del Este. Si se detecta un idioma de Europa del Este, el programa sale sin infección.
Información requerida
El informe comparte mitigaciones para reducir el riesgo de compromiso contra LockBit 2.0. Éstas incluyen:
- Usar contraseñas seguras y únicas
- Requerir autenticación multifactor
- Mantener los sistemas operativos y el software actualizados
- Eliminar el acceso innecesario a recursos compartidos de red administrativa
- Utilice un firewall basado en host
- Habilite archivos protegidos para computadoras que usan Windows
El informe del FBI no revela ninguna entidad específica afectada por LockBit 2.0. La agencia dice que está buscando cualquier información que pueda compartirse, incluyendo: registros de límites que muestren la comunicación hacia y desde direcciones IP extranjeras, una nota de rescate de muestra, comunicaciones con los atacantes, información de la billetera Bitcoin, la clave de descifrado y/o una muestra benigna. de un archivo cifrado. El FBI recomienda no pagar el rescate.
