La Oficina Federal de Investigaciones (FBI) compartió detalles técnicos asociados con los ataques de ransomware LockBit, también proporcionó información para ayudar a las organizaciones a bloquear dichos intentos de ataques.
Adicionalmente se puede acceder a los indicadores de compromiso (IOC) asociados a dichos ataques en el siguiente enlace.
Entre los detalles técnicos sobre cómo funciona el ransomware LockBit, el FBI también reveló que el malware posee una ventana de depuración oculta, que se puede activar durante el proceso de ataque, utilizando el atajo de teclado SHIFT + F1.
El FBI también detalló los siguientes consejos de defensa que podrían ayudar a proteger las redes contra los intentos de ataque del ransomware LockBit:
- Requerir que todas las cuentas que poseen inicio de sesión con contraseña (por ejemplo, cuentas de servicios, cuentas de dominio y administradores) posean contraseñas seguras y únicas.
- Requerir múltiples factores de autenticación (MFA) para todos los servicios, en la medida de lo posible.
- Mantener todos los sistemas operativos y software actualizados.
- Eliminar el acceso innecesario a los recursos compartidos administrativos.
- Utilizar un firewall para permitir solo conexiones a recursos compartidos desde un conjunto limitado de equipos.
- Habilitar los archivos protegidos en el sistema operativo Windows, para evitar cambios no autorizados en archivos críticos.
Adicionalmente los administradores de sistemas pueden tomar las siguientes medidas:
- Segmentar las redes para evitar la propagación de ransomware.
- Identificar e investigar cualquier actividad anormal con una herramienta de monitoreo de red.
- Deshabilitar la línea de comandos y los permisos de las secuencias de comandos.
- Mantener copias de seguridad de datos fuera de línea (offline).
- Asegurarse que todos los datos de respaldo estén encriptados.
El FBI también agregó que no fomenta el pago de rescates y desaconseja a las empresas realizarlo, ya que no se garantiza que el pago proteja a dichas empresas de futuros ataques o filtraciones de datos.
Referencias:
- https://www.bleepingcomputer.com/news/security/fbi-shares-lockbit-ransomware-technical-details-defense-tips/
- FBI Releases Indicators of Compromise Associated with LockBit 2.0 Ransomware | CISA
- https://www.ic3.gov/Media/News/2022/220204.pdf
- https://www.bitdefender.com/blog/hotforsecurity/fbi-releases-lockbit-2-0-flash-alert-with-attack-indicators-and-mitigation-tips/