Alerta de Seguridad
| TLP | Blanco |
|---|---|
| Tipo de incidente | Ransomware |
| Categoría | Código Malicioso |
| Nivel de peligrosidad | Critico |
Detalles de la Alerta
El Equipo Nacional de Respuesta a Incidentes CSIRT- RD, comparte los indicadores de compromiso (IoC) conocidos del Ransomware LockBit 2.0, el cual funciona a través de diversas TTPs y con ayuda de afiliados.
Funcionamiento
LockBit es una pandilla de Servicios Ransomware (RaaS) que utiliza diversas tácticas, técnicas y procedimientos (TTPs), en conjunto con el acceso inicial proporcionado por afiliados, los cuales son reclutados para escribir y distribuir el código malicioso del LockBit 2.0.
LockBit 2.0 utiliza herramientas muy conocidas como Mimikatz y otras herramientas hechas por los atacantes para la escalación de privilegio y la persitencia.
Mensaje de Rescate
Nota que explica a los usuarios el procedimiento para pagar el rescate de los datos comprometidos:
Indicadores de Compromiso (IoC)
| Comandos | • cmd.exe /c vssadmin Delete Shadows /All /Quiet • cmd.exe /c bcdedit /set {default} recoveryenabled No • cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures • cmd.exe /c wmic SHADOWCOPY /nointeractive • cmd.exe /c wevtutil cl security • cmd.exe /c wevtutil cl system • cmd.exe /c wevtutil cl application • cmd.exe “C:\Windows\System32\cmd.exe” /C ping 127.0.0.7 -n 3 >Nul&fsutil file setZeroData offset=0 length=524288 “C:\Users\fred\Desktop\Lsystem-234-bit.exe” & Del /f /q “C:\Users\fred\Desktop\Lsystem-234-bit.exe” • cmd.exe “C:\Windows\System32\cmd.exe” /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled |
|---|---|
| Llaves de Registro Utilizadas | • Llaves de Registro Utilizadas • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\WindowsNT\CurrentVersion\ICM\Calibration • HKEY_CLASSES_ROOT\Lockbit\shell\Open\Command • HKEY_CLASSES_ROOT\Lockbit\DefaultIcon • HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\{GUID} • HKEY_CURRENT_USER\Software\< LockBit 2.0 ID >\Private • HKEY_CURRENT_USER\Software\< LockBit 2.0 ID >\Public • HKEY_LOCAL_MACHINE\Software\Classes\.lockbit\DefaultIco • HKEY_CURRENT_USER\Control Panel\Desktop |
| Archivos Creados | • C:\Users\\Desktop\LockBit_Ransomware.hta • C:\Windows\SysWOW64\”<First 6 characters of Decryption ID>”.ico • C:\Users\<username>\AppData\Local\Temp\”<LockBit 2.0 wallpaper>” .tmp.bmp |
Recomendaciones
- Realizar el análisis correspondiente para el bloqueo a los indicadores de compromiso (IoC) citados en este documento.
- Recomendamos tener precaución al momento de acceder a enlaces suministrados mediante medios de mensajería.
- Mantener actualizadas las plataformas y sistemas de información según las recomendaciones del proveedor y en especial priorizar las actualizaciones para aplicaciones externas y servicios de acceso remoto.
- Realizar contacto inmediato con el Equipo Nacional de Respuesta a Incidentes Ciberneticos (CSIRT-RD), a través del correo incidentes@csirt.gob.do, para reportar cualquier acción sospechosa o posible incidente de ciberseguridad antes de realizar una acción.
- Realizar campañas de concientización periódica a todos los usuarios de la institución
