LockBit es la variante de ransomware más reciente, que se centra en el cifrado de máquinas virtuales VMware ESXi. Las empresas utilizan cada vez máquinas virtuales para ahorrar recursos informáticos y realizar copias de seguridad más fácilmente.
Debido a esto, el año pasado las variantes de ransomware se han desarrollado para crear cifrados de Linux, que apunten específicamente a las populares plataformas de virtualización VMware vSphere y ESXi. Si bien ESXi no es estrictamente Linux, comparte muchas de sus características, incluida la capacidad de ejecutar binarios ELF64 Linux.
Con el uso generalizado de VMware ESXI en las empresas, todos los analistas de seguridad deben estar alertas sobre nuevas variantes de ransomware para Linux.
Al hacer esta suposición, los administradores y los profesionales de seguridad pueden crear defensas y planes apropiados para proteger todos los dispositivos en sus redes, en lugar de solo los dispositivos de Windows.
Algunas recomendaciones a tener en cuenta:
- Implementar políticas de backup, manteniendo la información sensible en un lugar seguro, aislado de las redes locales donde podría estar comprometida, sin actualización en tiempo real y utilizando factor de doble autenticación para el acceso y modificación de estos.
- Monitorear, buscar y analizar tráfico SSL o TLS en puertos donde usualmente no se los utilizan.
- Implementar un procedimiento de instalación de parches y actualizaciones.
- Actualizar regularmente el software antivirus o software antimalware en los equipos críticos.
- Requerir de contraseña para la desactivación del antivirus.
Referencias:
- https://www.bleepingcomputer.com/news/security/linux-version-of-lockbit-ransomware-targets-vmware-esxi-servers/
- https://cloud7.news/security/lockbit-ransomware-is-now-targeting-linux-servers/
- https://www.trendmicro.com/en_us/research/22/a/analysis-and-Impact-of-lockbit-ransomwares-first-linux-and-vmware-esxi-variant.html