LockBit 5

LockBit 5 es una variante de ransomware que cifra archivos en sistemas infectados, añadiendo una extensión aleatoria a sus nombres y dejando una nota de rescate con instrucciones para pagar el rescate en criptomonedas. Además de cifrar archivos, LockBit 5 modifica el fondo de pantalla del sistema y amenaza con borrar los archivos o publicar datos robados si el rescate no se paga a tiempo. El ransomware se propaga a través de correos electrónicos de phishing, sitios web comprometidos y otras técnicas de distribución maliciosa.

Funcionamiento

LockBit 5 es un ransomware avanzado que sigue un proceso sistemático para cifrar archivos y extorsionar a las víctimas. Su funcionamiento puede desglosarse en varias fases detalladas:

  1. Infección Inicial:
    • Métodos de Distribución: LockBit 5 se distribuye comúnmente a través de correos electrónicos de phishing con archivos adjuntos o enlaces maliciosos, descargas de software desde sitios no confiables, y la explotación de vulnerabilidades en sistemas operativos o aplicaciones desactualizadas. También puede infiltrarse a través de unidades USB comprometidas o exploits en redes.
    • Ejecución del Malware: Al ejecutar el archivo malicioso, LockBit 5 se instala en el sistema, creando procesos y servicios persistentes para garantizar su ejecución continua.
  2. Reconocimiento y Preparación:
    • Escaneo del Sistema: Una vez instalado, LockBit 5 escanea el sistema en busca de archivos y directorios susceptibles a cifrado. Utiliza técnicas de enumeración para identificar archivos relevantes y recopilar información sobre la estructura del sistema.
    • Eliminación de Copias de Seguridad: El ransomware intenta eliminar las copias de seguridad existentes en el sistema, como las Shadow Copies de Windows, para asegurar que la víctima no pueda restaurar los archivos cifrados sin pagar el rescate.
  3. Cifrado de Archivos:
    • Algoritmo de Cifrado: LockBit 5 utiliza algoritmos de cifrado robustos (generalmente AES-256) para cifrar los archivos en el sistema. Los archivos afectados reciben una extensión aleatoria generada por el ransomware, como .d093fD6aI, lo que hace que sean inaccesibles para la víctima.
    • Modificación del Sistema: El ransomware cambia el fondo de pantalla del escritorio para mostrar un mensaje de rescate y crea una nota de rescate en cada directorio afectado. La nota contiene instrucciones sobre cómo pagar el rescate y detalles sobre las amenazas si no se cumple el pago.
  4. Exfiltración de Datos (Opcional):
    • Robo de Información: En algunas variantes, LockBit 5 puede robar información sensible antes de cifrar los archivos. Esta información robada se envía a servidores controlados por los atacantes para su uso o publicación futura.
  5. Entrega de la Nota de Rescate:
    • Comunicación con la Víctima: LockBit 5 deja una nota de rescate ([extensión].README.txt) que especifica la cantidad de criptomoneda (Bitcoin) que se debe pagar para obtener la clave de descifrado. La nota también incluye instrucciones sobre cómo contactar a los atacantes a través del mensajero Tox para negociar el pago.
  6. Extorsión y Persistencia:
    • Amenazas de Publicación: Si no se paga el rescate dentro del plazo especificado, LockBit 5 amenaza con publicar la información robada o destruir los archivos cifrados.
    • Persistencia: El ransomware puede instalar componentes adicionales para mantener el acceso al sistema comprometido y realizar cifrados adicionales si la infección no se elimina de inmediato.

Impacto y consecuencias

El impacto de LockBit 5 en un sistema comprometido es significativo y puede tener consecuencias graves:

  • Pérdida de Datos: Los archivos cifrados con la extensión aleatoria se vuelven inaccesibles, afectando la capacidad de la víctima para acceder a datos críticos. Sin una herramienta de descifrado proporcionada por los atacantes, la recuperación de los archivos es extremadamente difícil.
  • Interrupción Operativa: La imposibilidad de acceder a los archivos afecta la operativa normal del sistema, lo que puede llevar a una pérdida de productividad y afectar las operaciones comerciales o personales.
  • Eliminación de Copias de Seguridad: La eliminación de copias de seguridad locales limita las opciones de recuperación de datos sin pagar el rescate, lo que puede llevar a una pérdida total de datos si no se han implementado medidas de respaldo fuera del sistema comprometido.
  • Riesgo de Exfiltración de Datos: Si el ransomware incluye capacidades de robo de información, los datos sensibles pueden ser enviados a servidores externos, lo que expone a la víctima a riesgos adicionales como el robo de identidad o la publicación de información confidencial.
  • Costos Financieros: Los costos asociados incluyen el pago del rescate (si se decide pagar), el costo de la recuperación de datos, la implementación de medidas de seguridad adicionales, y el posible impacto financiero de la pérdida de datos o la interrupción operativa.
  • Daño a la Reputación: La publicación de datos robados o la falta de acceso a información crítica puede dañar la reputación de una organización o individuo, afectando la confianza de clientes y socios.

Origen y motivación

LockBit 5 es una evolución de variantes anteriores de ransomware de la familia LockBit, desarrollada por ciberdelincuentes con el objetivo principal de extorsionar a las víctimas mediante la cifrado de datos y la demanda de rescate. Su motivación radica en la obtención de beneficios financieros rápidos mediante el cifrado de archivos y la amenaza de pérdida o exposición de datos. Los atacantes detrás de LockBit 5 utilizan técnicas sofisticadas para maximizar el impacto de sus ataques, explotando vulnerabilidades en los sistemas y utilizando canales de comunicación anónimos para negociar pagos en criptomonedas. El ransomware se distribuye a través de métodos de ingeniería social y vulnerabilidades en software, buscando aprovechar cualquier debilidad en la seguridad para lograr sus objetivos de extorsión.