{"id":2907,"date":"2023-04-22T13:16:24","date_gmt":"2023-04-22T17:16:24","guid":{"rendered":"https:\/\/www.ciudadgoticanews.com\/?p=2907"},"modified":"2023-04-22T13:16:49","modified_gmt":"2023-04-22T17:16:49","slug":"que-es-y-como-funciona-lockbit-el-ransomware-que-habria-afectado-al-banco-de-venezuela","status":"publish","type":"post","link":"https:\/\/www.ciudadgoticanews.com\/index.php\/2023\/04\/22\/que-es-y-como-funciona-lockbit-el-ransomware-que-habria-afectado-al-banco-de-venezuela\/","title":{"rendered":"Qu\u00e9 es y c\u00f3mo funciona LockBit, el ransomware que habr\u00eda afectado al Banco de Venezuela"},"content":{"rendered":"<p>El Banco de Venezuela, una de las principales entidades financieras venezolanas, sufri\u00f3 el pasado mi\u00e9rcoles 19 de abril un ataque de ransomware LockBit 3.0, un tipo de software malicioso que bloquea el acceso a los archivos y sistemas inform\u00e1ticos y exige el pago de un rescate para liberarlos.<\/p>\n<p>El Banco de Venezuela emiti\u00f3 un comunicado en el que asegur\u00f3 que su plataforma operativa estaba funcionando con normalidad y que no se hab\u00edan visto comprometidos los datos de sus clientes ni los fondos depositados.<\/p>\n<p>&nbsp;<\/p>\n<blockquote class=\"wp-embedded-content\" data-secret=\"m8bak9hCbR\"><p><a href=\"https:\/\/www.ciudadgoticanews.com\/index.php\/2023\/04\/19\/reportan-en-redes-sociales-supuesta-intrusion-maliciosa-del-ramsonware-lockbit-en-red-perteneciente-al-banco-de-venezuela-que-amenazaria-con-posible-filtracion-de-datos\/\">Reportan en redes sociales supuesta intrusi\u00f3n maliciosa del ramsonware Lockbit en red perteneciente al Banco de Venezuela que amenazar\u00eda con posible filtraci\u00f3n de datos<\/a><\/p><\/blockquote>\n<p><iframe loading=\"lazy\" title=\"\u00abReportan en redes sociales supuesta intrusi\u00f3n maliciosa del ramsonware Lockbit en red perteneciente al Banco de Venezuela que amenazar\u00eda con posible filtraci\u00f3n de datos\u00bb \u2014 CIUDAD G&Oacute;TICA\" sandbox=\"allow-scripts\" security=\"restricted\" src=\"https:\/\/www.ciudadgoticanews.com\/index.php\/2023\/04\/19\/reportan-en-redes-sociales-supuesta-intrusion-maliciosa-del-ramsonware-lockbit-en-red-perteneciente-al-banco-de-venezuela-que-amenazaria-con-posible-filtracion-de-datos\/embed\/#?secret=m8bak9hCbR\" width=\"600\" height=\"338\" data-secret=\"m8bak9hCbR\" frameborder=\"0\" marginwidth=\"0\" marginheight=\"0\" scrolling=\"no\" class=\"wp-embedded-content\"><\/iframe><script>\/*! This file is auto-generated *\/!function(d,l){\"use strict\";l.querySelector&&d.addEventListener&&\"undefined\"!=typeof URL&&(d.wp=d.wp||{},d.wp.receiveEmbedMessage||(d.wp.receiveEmbedMessage=function(e){var t=e.data;if((t||t.secret||t.message||t.value)&&!\/[^a-zA-Z0-9]\/.test(t.secret)){for(var s,r,n,a=l.querySelectorAll('iframe[data-secret=\"'+t.secret+'\"]'),o=l.querySelectorAll('blockquote[data-secret=\"'+t.secret+'\"]'),c=new RegExp(\"^https?:$\",\"i\"),i=0;i<o.length;i++)o[i].style.display=\"none\";for(i=0;i<a.length;i++)s=a[i],e.source===s.contentWindow&#038;&#038;(s.removeAttribute(\"style\"),\"height\"===t.message?(1e3<(r=parseInt(t.value,10))?r=1e3:~~r<200&#038;&#038;(r=200),s.height=r):\"link\"===t.message&#038;&#038;(r=new URL(s.getAttribute(\"src\")),n=new URL(t.value),c.test(n.protocol))&#038;&#038;n.host===r.host&#038;&#038;l.activeElement===s&#038;&#038;(d.top.location.href=t.value))}},d.addEventListener(\"message\",d.wp.receiveEmbedMessage,!1),l.addEventListener(\"DOMContentLoaded\",function(){for(var e,t,s=l.querySelectorAll(\"iframe.wp-embedded-content\"),r=0;r<s.length;r++)(t=(e=s[r]).getAttribute(\"data-secret\"))||(t=Math.random().toString(36).substring(2,12),e.src+=\"#?secret=\"+t,e.setAttribute(\"data-secret\",t)),e.contentWindow.postMessage({message:\"ready\",secret:t},\"*\")},!1)))}(window,document);<\/script><\/p>\n<p>El ransomware LockBit es un software malicioso dise\u00f1ado para bloquear el acceso de los usuarios a los sistemas inform\u00e1ticos y pedir el pago de un rescate para restablecerlo. LockBit busca autom\u00e1ticamente objetivos valiosos, propaga la infecci\u00f3n y cifra todos los sistemas inform\u00e1ticos accesibles en una red, explica la empresa de seguridad inform\u00e1tica <a href=\"https:\/\/latam.kaspersky.com\/resource-center\/threats\/lockbit-ransomware\" target=\"_blank\" rel=\"noopener\">Kaspersky<\/a>. Este ransomware se utiliza para lanzar ataques selectivos contra empresas y otras organizaciones. Como es un ciberataque autopilotado, los atacantes de LockBit se caracterizan por amenazar a organizaciones de todo el mundo con:<\/p>\n<ul>\n<li><strong>Interrumpir las operaciones<\/strong>\u00a0por la detenci\u00f3n repentina de las funciones esenciales.<\/li>\n<li><strong>Extorsionarlas<\/strong>\u00a0para el beneficio financiero del hacker.<\/li>\n<li><strong>Robar datos y publicaci\u00f3n ilegal de estos<\/strong>\u00a0como chantaje si la v\u00edctima no paga el rescate.<\/li>\n<\/ul>\n<h2>\u00bfQu\u00e9 es el ransomware LockBit?<\/h2>\n<p>LockBit es un nuevo ataque de ransomware en una larga l\u00ednea de\u00a0ciberataques\u00a0de extorsi\u00f3n. Antes conocido como el ransomware \u00abABCD\u00bb, se ha convertido en una amenaza \u00fanica en el \u00e1mbito de estas herramientas de extorsi\u00f3n. LockBit es una subclase de ransomware conocido como \u00abvirus de cifrado\u00bb que exige como rescate el pago de dinero a cambio de descifrar archivos. Se centra m\u00e1s en las empresas y organizaciones gubernamentales y no tanto en los particulares.<\/p>\n<p>Los primeros ataques con\u00a0<a href=\"https:\/\/arstechnica.com\/information-technology\/2020\/05\/lockbit-the-new-ransomware-for-hire-a-sad-and-cautionary-tale\/\" rel=\"noreferrer\" data-ss1682181217=\"1\">LockBit comenzaron en septiembre de 2019<\/a>, y fue entonces que recibi\u00f3 el apodo \u00abvirus .abcd\u00bb. El apodo hac\u00eda referencia la extensi\u00f3n del archivo utilizada al cifrar los archivos de la v\u00edctima. Entre los objetivos anteriores m\u00e1s importantes figuran organizaciones de los Estados Unidos, China, India, Indonesia y Ucrania. Adem\u00e1s, varios pa\u00edses europeos (Francia, Reino Unido y Alemania) han sufrido ataques.<\/p>\n<p>Los objetivos viables son aquellos que se sentir\u00e1n tan obstaculizados por la interrupci\u00f3n, que preferir\u00e1n una suma abundante, y que tendr\u00e1n los fondos para hacerlo. Como tal, esto puede dar lugar a ataques generalizados contra grandes empresas, desde el sector de la salud hasta las instituciones financieras. Durante la investigaci\u00f3n preliminar automatizada, tambi\u00e9n parece evitar intencionalmente atacar los sistemas locales de Rusia o de cualquier otro pa\u00eds de la Comunidad de Estados Independientes. Es probable que se lo haga para evitar acciones penales en esas \u00e1reas.<\/p>\n<p>LockBit funciona como ransomware como servicio (RaaS). Las partes interesadas dejan un dep\u00f3sito para usar los ataques personalizados que se contratan y obtienen beneficios en un marco de afiliados. Los pagos del rescate se dividen entre el equipo de desarrolladores de LockBit y los atacantes afiliados, que reciben hasta \u00be de los fondos del rescate.<\/p>\n<h2>\u00bfC\u00f3mo funciona el ransomware LockBit?<\/h2>\n<p>Muchas autoridades consideran que el\u00a0ransomware\u00a0LockBit forma parte de la familia de malware \u00abLockerGoga &amp; MegaCortex\u00bb. Esto simplemente significa que tiene comportamientos similares a los de estas formas consolidadas de ransomware selectivo. A modo de explicaci\u00f3n r\u00e1pida, entendemos que estos ataques:<\/p>\n<ul>\n<li><strong>Se autodistribuyen<\/strong>\u00a0por toda una organizaci\u00f3n en lugar de requerir una administraci\u00f3n manual.<\/li>\n<li><strong>Tienen un objetivo concreto<\/strong>\u00a0en lugar de propagarse de forma dispersa como el malware de spam.<\/li>\n<li><strong>Utilizan herramientas similares<\/strong>\u00a0para propagarse, como Windows Powershell y Server Message Block (SMB).<\/li>\n<\/ul>\n<p>Lo m\u00e1s importante es su capacidad de autopropagaci\u00f3n. En su programaci\u00f3n, LockBit est\u00e1 dirigido por procesos predise\u00f1ados automatizados. Esto lo distingue de muchos otros ataques de ransomware que se realizan manualmente en la red, a veces durante semanas, para completar el reconocimiento y la vigilancia.<\/p>\n<p>Despu\u00e9s de que el atacante infecta manualmente un solo host, LockBit puede encontrar otros hosts accesibles, conectarlos a otros infectados y propagar la infecci\u00f3n mediante un script. El proceso se lleva a cabo y se repite sin intervenci\u00f3n humana.<\/p>\n<p>Adem\u00e1s, utiliza herramientas en patrones que son nativos de casi todos los sistemas inform\u00e1ticos Windows. Los sistemas de seguridad de los endpoints tienen dificultades para detectar actividades maliciosas. Tambi\u00e9n oculta el archivo de cifrado ejecutable disfraz\u00e1ndolo como el formato de archivo de imagen .PNG com\u00fan, con lo que enga\u00f1a a\u00fan m\u00e1s a las defensas del sistema.<\/p>\n<h3>Etapas de los ataques de LockBit<\/h3>\n<p>Los ataques de LockBit pueden entenderse en aproximadamente tres etapas:<\/p>\n<ol>\n<li>Explotar<\/li>\n<li>Infiltrarse<\/li>\n<li>Implementar<\/li>\n<\/ol>\n<p><strong>Etapa 1: Explotar<\/strong>\u00a0las debilidades de una red. La brecha inicial es muy similar a otros ataques maliciosos. Una organizaci\u00f3n puede ser explotada por t\u00e1cticas de\u00a0ingenier\u00eda social\u00a0como el phishing, que consiste en que los atacantes se hacen pasar por personal o autoridades de confianza para solicitar credenciales de acceso. Resulta igualmente viable el uso de ataques de fuerza bruta contra los servidores de la intranet y los sistemas de red de una organizaci\u00f3n. Si la red carece de una configuraci\u00f3n adecuada, las sondas de ataque pueden tardar solo unos d\u00edas en realizar su trabajo.<\/p>\n<p>Una vez que LockBit entra en la red, el ransomware prepara el sistema para liberar su carga \u00fatil de cifrado en todos los dispositivos que pueda. Sin embargo, es posible que un atacante deba asegurarse de que se realicen algunos pasos adicionales antes de dar el golpe final.<\/p>\n<p><strong>Etapa 2: Infiltrarse<\/strong>\u00a0m\u00e1s profundamente para completar la configuraci\u00f3n del ataque si es necesario. A partir de aqu\u00ed, el programa LockBit realiza toda la actividad por s\u00ed mismo. Est\u00e1 programado para utilizar lo que se conoce como herramientas de \u00abposexplotaci\u00f3n\u00bb para obtener privilegios escalonados y lograr el nivel de acceso necesario para lanzar los ataques. Tambi\u00e9n est\u00e1 presente a trav\u00e9s de un acceso ya disponible mediante un movimiento lateral para examinar la viabilidad del objetivo.<\/p>\n<p>En esta etapa LockBit toma las medidas de preparaci\u00f3n necesarias antes de implementar el cifrado del ransomware. Esto incluye la desactivaci\u00f3n de los programas de seguridad y de cualquier otra infraestructura que pudiera permitir la recuperaci\u00f3n del sistema.<\/p>\n<p>El objetivo de la infiltraci\u00f3n es imposibilitar la recuperaci\u00f3n sin ayuda, o hacer que sea tan lenta que pagar el rescate exigido por el atacante sea la \u00fanica soluci\u00f3n pr\u00e1ctica. Cuando la v\u00edctima est\u00e1 desesperada por que las operaciones vuelvan a la normalidad es cuando pagar\u00e1 el rescate.<\/p>\n<p><strong>Etapa 3: Implementar<\/strong>\u00a0la carga de cifrado. Una vez que la red est\u00e1 lista para que LockBit se movilice por completo, el ransomware empezar\u00e1 a propagarse a trav\u00e9s de cualquier m\u00e1quina a la que pueda acceder. Como se ha mencionado anteriormente, LockBit no necesita gran cosa para completar esta etapa. Una sola unidad de sistema con alto nivel de acceso puede emitir comandos a otras unidades de la red para descargar LockBit y ejecutarlo.<\/p>\n<p>La etapa del cifrado pondr\u00e1 un \u00abcandado\u00bb en todos los archivos del sistema. Las v\u00edctimas solo podr\u00e1n desbloquear sus sistemas con una clave personalizada creada por la herramienta de descifrado patentada de LockBit. El proceso tambi\u00e9n deja copias de un simple archivo de texto de notas de rescate en cada carpeta del sistema. Este proporciona a la v\u00edctima instrucciones para restaurar su sistema e incluso incluye la amenaza de chantaje en algunas versiones de LockBit.<\/p>\n<p>Una vez completadas todas las etapas, los siguientes pasos quedan a cargo de la v\u00edctima. Puede decidir comunicarse con el servicio de asistencia t\u00e9cnica de LockBit y pagar el rescate. Sin embargo, se aconseja no ceder a sus demandas. Las v\u00edctimas no tienen garant\u00edas de que los atacantes vayan a cumplir con su parte del trato.<\/p>\n<h2>Tipos de amenazas de LockBit<\/h2>\n<p>Como se trata del ataque de ransomware m\u00e1s reciente, la amenaza de LockBit puede ser un problema de gran magnitud. No podemos descartar la posibilidad de que se arraigue en muchos sectores y organizaciones, sobre todo con el reciente aumento del teletrabajo. La detecci\u00f3n de las variantes de LockBit puede ayudar a identificar exactamente a qu\u00e9 te est\u00e1s enfrentando.<\/p>\n<h3>Variante 1: la extensi\u00f3n .abcd<\/h3>\n<p>La versi\u00f3n original de LockBit cambia el nombre de los archivos, suplantando su extensi\u00f3n por \u00ab.abcd\u00bb. Adem\u00e1s, inserta en cada carpeta el archivo \u00abRestore-My-Files.txt\u00bb, que contiene la nota de rescate con exigencias e instrucciones para la supuesta restauraci\u00f3n.<\/p>\n<h3>Variante 2: la extensi\u00f3n .LockBit<\/h3>\n<p>La segunda versi\u00f3n conocida de este ransomware adopt\u00f3 la extensi\u00f3n de archivo \u00ab.LockBit\u00bb, lo que le da su apodo actual. Sin embargo, las v\u00edctimas observar\u00e1n que otros rasgos de esta versi\u00f3n son casi id\u00e9nticos, a pesar de algunas revisiones del backend.<\/p>\n<h3>Variante 3: versi\u00f3n 2 de .LockBit<\/h3>\n<p>La siguiente versi\u00f3n identificable de LockBit ya no requiere descargar el navegador Tor en sus instrucciones de rescate, sino que env\u00eda a las v\u00edctimas a un sitio web alternativo a trav\u00e9s de un acceso tradicional a Internet.<\/p>\n<h3>Actualizaciones y revisiones continuas de LockBit<\/h3>\n<p>Recientemente, se han introducido mejoras a LockBit, que ahora cuenta con funciones m\u00e1s da\u00f1inas, como la opci\u00f3n de anular los puntos de control de los permisos administrativos. LockBit ahora desactiva los avisos de seguridad que los usuarios pueden ver cuando una aplicaci\u00f3n intenta ejecutarse como administrador.<\/p>\n<p>Adem\u00e1s, el malware ahora est\u00e1 configurado para robar copias de los datos del servidor e incluye l\u00edneas adicionales de chantaje incluidas en la nota de rescate. En caso de que la v\u00edctima no siga las instrucciones, LockBit amenaza ahora con hacer p\u00fablicos los datos privados de esta.<\/p>\n<h2>Eliminaci\u00f3n y descifrado de LockBit<\/h2>\n<p>Si tu organizaci\u00f3n ya est\u00e1 infectada, la eliminaci\u00f3n del ransomware LockBit por s\u00ed sola no te dar\u00e1 acceso a tus archivos. Deber\u00e1s utilizar una herramienta para restaurar el sistema, ya que el cifrado requiere una \u00abclave\u00bb para desbloquearlo. Como alternativa, puedes restaurar tus sistemas mediante la creaci\u00f3n de una nueva imagen si ya has creado im\u00e1genes de copia de seguridad previas a la infecci\u00f3n.<\/p>\n<h2>C\u00f3mo protegerse del ransomware LockBit<\/h2>\n<p>En definitiva, tendr\u00e1s que establecer medidas de protecci\u00f3n para garantizar que tu organizaci\u00f3n resista cualquier tipo de ransomware o ataque malicioso que requiera una compensaci\u00f3n. Estas son algunas pr\u00e1cticas que pueden ayudarte a prepararte:<\/p>\n<ol>\n<li><strong>Implementa contrase\u00f1as seguras.<\/strong>\u00a0Muchas vulneraciones de cuentas ocurren debido al uso de contrase\u00f1as f\u00e1ciles de adivinar o que son tan simples que una herramienta de algoritmos las descubre a los pocos d\u00edas de haberlas empezado a tantear. Elige contrase\u00f1as seguras, m\u00e1s largas y con variaciones de caracteres, y de usar reglas creadas por ti mismo para crear frases de contrase\u00f1a.<\/li>\n<li><strong>Activa la autenticaci\u00f3n de varios factores.<\/strong>\u00a0Det\u00e9n los ataques de fuerza bruta agregando capas adicionales de protecci\u00f3n a tus inicios de sesi\u00f3n con contrase\u00f1a. Incluye medidas como la\u00a0biometr\u00eda\u00a0o los autenticadores de claves de dispositivos USB f\u00edsicos en todos tus sistemas cuando sea posible.<\/li>\n<li><strong>Vuelve a evaluar y simplifica los permisos de las cuentas de usuario.<\/strong>\u00a0Limita los permisos a niveles m\u00e1s estrictos para evitar que las posibles amenazas pasen desapercibidas. Presta especial atenci\u00f3n a los permisos asignados a los usuarios de los endpoints y las cuentas de TI con permisos de nivel de administrador. Los dominios web, las plataformas de colaboraci\u00f3n, los servicios de reuniones en la web y las bases de datos de las empresas deben estar protegidos.<\/li>\n<li><strong>Borra las cuentas de usuario desactualizadas y no utilizadas.<\/strong>\u00a0Es posible que algunos sistemas m\u00e1s antiguos tengan cuentas de empleados anteriores que nunca se desactivaron ni cerraron. El \u00faltimo paso de una revisi\u00f3n de los sistemas deber\u00eda incluir la eliminaci\u00f3n de estos posibles puntos d\u00e9biles.<\/li>\n<li><strong>Aseg\u00farate de que las configuraciones del sistema sigan todos los procedimientos de seguridad.<\/strong>\u00a0Esto puede llevar un tiempo, pero revisar las configuraciones existentes puede revelar nuevos problemas y directivas obsoletas que pueden poner a tu organizaci\u00f3n bajo riesgo de ataque. Los procedimientos operativos est\u00e1ndar se deben volver a evaluar peri\u00f3dicamente para mantenerlos actualizados contra las nuevas amenazas cibern\u00e9ticas.<\/li>\n<li><strong>Debes tener siempre preparadas copias de seguridad de todo el sistema e im\u00e1genes limpias de los equipo locales.<\/strong>\u00a0Los incidentes ocurrir\u00e1n y la \u00fanica protecci\u00f3n real contra la p\u00e9rdida permanente de los datos es una copia sin conexi\u00f3n. Tu organizaci\u00f3n debe crear copias de seguridad peri\u00f3dicamente para estar al d\u00eda de cualquier cambio importante en los sistemas. En caso de que una copia de seguridad se contamine con una infecci\u00f3n de malware, considera la posibilidad de tener varios puntos de copia de seguridad rotativos para seleccionar un per\u00edodo limpio.<\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"<p>El Banco de Venezuela, una de las principales entidades financieras venezolanas, sufri\u00f3 el pasado mi\u00e9rcoles 19 de abril un ataque de ransomware LockBit 3.0, un tipo de software malicioso que bloquea el acceso a los archivos y sistemas inform\u00e1ticos y exige el pago de un rescate para liberarlos. El Banco de Venezuela emiti\u00f3 un comunicado [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":2913,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"h5ap_radio_sources":[],"footnotes":""},"categories":[9],"tags":[],"class_list":["post-2907","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-venezuela"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.ciudadgoticanews.com\/index.php\/wp-json\/wp\/v2\/posts\/2907","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ciudadgoticanews.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ciudadgoticanews.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ciudadgoticanews.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ciudadgoticanews.com\/index.php\/wp-json\/wp\/v2\/comments?post=2907"}],"version-history":[{"count":0,"href":"https:\/\/www.ciudadgoticanews.com\/index.php\/wp-json\/wp\/v2\/posts\/2907\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ciudadgoticanews.com\/index.php\/wp-json\/wp\/v2\/media\/2913"}],"wp:attachment":[{"href":"https:\/\/www.ciudadgoticanews.com\/index.php\/wp-json\/wp\/v2\/media?parent=2907"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ciudadgoticanews.com\/index.php\/wp-json\/wp\/v2\/categories?post=2907"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ciudadgoticanews.com\/index.php\/wp-json\/wp\/v2\/tags?post=2907"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}