NotLockBit

De CiberWiki
Revisión del 13:21 29 oct 2024 de Fernando.VH (discusión | contribs.)
(difs.) ← Revisión anterior | Revisión actual (difs.) | Revisión siguiente → (difs.)

NotLockBit es un ransomware que se presenta como una versión del infame LockBit, dirigido tanto a usuarios de Windows como de macOS. Al igual que otros tipos de ransomware, NotLockBit cifra y renombra los archivos de la víctima utilizando el formato "[nombre de archivo original].[vector de inicialización].abcd", haciendo que los documentos afectados queden inaccesibles sin el descifrador proporcionado por los atacantes. Además, el ransomware modifica el fondo de pantalla de los dispositivos comprometidos, lo que incrementa el impacto visual del ataque y la urgencia percibida por el usuario.

La nota de rescate de NotLockBit imita las tácticas de LockBit, informando a las víctimas que sus archivos han sido robados y cifrados. Los atacantes sugieren que la víctima puede colaborar para robar datos corporativos sensibles o acceder a credenciales como RDP, VPN o correo electrónico empresarial a cambio de evitar la filtración de sus datos. Además, se les indica contactar a los delincuentes a través de la plataforma Tox y a consultar un archivo de texto "README.TXT" en el dispositivo afectado.

NotLockBit emplea diversas técnicas de distribución, como adjuntos infectados en correos electrónicos y anuncios maliciosos. Su actividad afecta documentos personales y datos críticos, almacenándolos en servidores controlados por los atacantes, lo cual impide su recuperación sin intervención externa. Dada su capacidad de evasión y las dificultades de descifrado, es esencial contar con copias de seguridad y evitar el acceso a fuentes no confiables para reducir el riesgo de infección.

Funcionamiento

NotLockBit es un ransomware sofisticado que se disfraza de LockBit, un ransomware conocido en el mundo de la ciberseguridad, para engañar a sus víctimas. Su estructura y proceso de ataque muestran una combinación de técnicas avanzadas de cifrado y exfiltración de datos, además de la implementación de características visuales en el sistema afectado que refuerzan su amenaza. A continuación, se describe de manera técnica el funcionamiento de NotLockBit en una infección típica:

1. Proceso de Inicialización

Cuando NotLockBit se ejecuta en el sistema infectado, lo primero que realiza es la inicialización de sus componentes clave. El malware recupera el UUID de la máquina afectada y usa esta información para generar un identificador único para el dispositivo, lo cual es esencial para la etapa de cifrado y para rastrear cada ataque individualmente. Después, el ransomware importa una clave pública incrustada en su código, que se utiliza más adelante en el proceso de cifrado.

2. Escaneo de Archivos y Preparación para el Cifrado

NotLockBit escanea el sistema, buscando archivos de interés para cifrar y exfiltrar. Este proceso se lleva a cabo en el directorio raíz, y para los sistemas macOS, excluye ciertas carpetas del cifrado, como aquellas que contienen archivos del sistema esenciales para el funcionamiento del dispositivo. El ransomware prioriza tipos de archivos de valor, como documentos, fotos, bases de datos y archivos de proyectos, asegurándose de que su pérdida afecte de forma significativa al usuario o a la organización.

3. Cifrado de Archivos

Una vez seleccionados los archivos, NotLockBit procede a cifrarlos utilizando un proceso de cifrado simétrico y asimétrico combinado. Cada archivo es cifrado con una clave única generada a partir del nombre del archivo y una contraseña maestra. El ransomware emplea un algoritmo de cifrado AES-256 para el cifrado de cada archivo, asegurando que los datos sean irrecuperables sin la clave correspondiente. La clave de cifrado de cada archivo es luego cifrada nuevamente con la clave pública del atacante, que se ha importado durante la inicialización, garantizando que solo el atacante pueda descifrar las claves individuales mediante su clave privada. Los archivos cifrados se renombrarán utilizando el siguiente formato: [nombre de archivo original].[vector de inicialización].abcd, por ejemplo, "1.jpg.3544329bb141eea628f7c3bff6c79c11.abcd".

4. Exfiltración de Datos

Además de cifrar los archivos, NotLockBit realiza una exfiltración de información al cargar los archivos cifrados en un espacio de almacenamiento controlado por los atacantes, generalmente configurado como un bucket de Amazon S3 o un servidor de almacenamiento remoto similar. La exfiltración asegura que los atacantes mantengan acceso a los datos críticos de la víctima y puedan usar esta información como un mecanismo adicional de extorsión (amenazando con la publicación de los datos si no se paga el rescate). Este proceso de exfiltración utiliza un identificador único de la máquina, asegurando que los datos de cada víctima se almacenen en una ubicación separada y organizada.

5. Manipulación del Sistema

Para aumentar el impacto visual y psicológico del ataque, NotLockBit modifica el fondo de pantalla del dispositivo infectado. En macOS, esto se realiza mediante el comando osascript, que cambia el fondo del escritorio a una imagen personalizada que refuerza la amenaza. En Windows, el fondo de pantalla se cambia usando la función SystemParametersInfoW. Además, en algunas variantes de Windows, el ransomware incluye un código para eliminar copias de seguridad (shadow copies), lo cual dificulta aún más la recuperación de los datos sin pagar el rescate.

6. Presentación de la Nota de Rescate

Después de completar el cifrado, NotLockBit coloca una nota de rescate en el escritorio y en las carpetas donde se encuentran los archivos cifrados, denominada "README.TXT". Esta nota emula el estilo de LockBit y sugiere a la víctima que sus archivos han sido cifrados y exfiltrados. Los atacantes ofrecen la posibilidad de "colaborar" con ellos para robar datos de empresas mediante credenciales como RDP, VPN o acceso a correo corporativo, en un intento de aprovechar la situación para comprometer a otras organizaciones. La comunicación con los atacantes se realiza a través de Tox, un mensajero seguro, utilizando un ToxID proporcionado en la nota.

7. Persistencia y Eliminación de Copias de Seguridad

En los sistemas Windows, NotLockBit intenta asegurar su persistencia y aumentar la dificultad de recuperación del sistema al eliminar las "shadow copies" o copias de seguridad automáticas que Windows crea. Esto se hace mediante comandos que ejecutan la eliminación de estas copias, como vssadmin delete shadows, evitando que la víctima pueda restaurar sus archivos a través de puntos de restauración del sistema.

8. Técnicas de Evasión y Persistencia

NotLockBit incorpora varios métodos de evasión para evitar ser detectado por herramientas de seguridad. Este ransomware puede identificar y evitar ciertos entornos de virtualización o de análisis, evitando su ejecución en sistemas que muestran indicadores de estar en una máquina virtual o un entorno de sandbox. Además, emplea ofuscación en su código, lo que dificulta su detección por firmas de antivirus tradicionales. Los nombres de detección de NotLockBit en Windows incluyen variantes como "Win64

[Trj]" y "Trojan

/Wacatac.B!ml," mientras que en macOS se identifica como "OSX/Filecoder.R" y "HEUR

Impacto y consecuencias

El ransomware NotLockBit tiene un impacto considerable sobre la seguridad, integridad y operatividad de las organizaciones afectadas. Este impacto abarca desde pérdidas financieras directas hasta daños en la reputación y compromisos en la seguridad de los datos. Las consecuencias técnicas y organizativas de un ataque de NotLockBit son amplias y tienen implicaciones que van mucho más allá de la recuperación inmediata de archivos. A continuación, se detallan los principales efectos del ransomware en una organización:

1. Interrupción Operativa y Pérdida de Productividad

  • Paralización de Servicios y Procesos: NotLockBit cifra archivos críticos en los sistemas afectados, lo cual puede interrumpir el acceso a aplicaciones, bases de datos y documentos esenciales para el funcionamiento de la organización. La falta de acceso a estos recursos impacta directamente en la continuidad de las operaciones.
  • Pérdida de Productividad: Los empleados y sistemas quedan inactivos o limitados en sus funciones mientras la organización evalúa el daño, detiene la propagación y decide si pagar el rescate o restaurar los sistemas desde cero. En sectores críticos, como salud o servicios financieros, esta pérdida de productividad puede tener efectos devastadores, incluyendo el riesgo de pérdidas de vida o grandes fluctuaciones financieras.

2. Pérdida de Datos y Riesgo de Fuga de Información Sensible

  • Exfiltración de Datos Sensibles: NotLockBit no solo cifra los datos, sino que también exfiltra información confidencial. Esto coloca a las organizaciones en una situación de doble extorsión: si se niegan a pagar el rescate, los atacantes amenazan con publicar o vender los datos robados. La información sensible puede incluir datos de clientes, detalles financieros, información estratégica o datos de investigación y desarrollo.
  • Pérdida de Confianza del Cliente: La exposición de datos sensibles puede causar una pérdida de confianza en la organización afectada. Clientes y socios comerciales pueden decidir retirar su apoyo o servicios al no confiar en la capacidad de la organización para proteger su información.

3. Pérdida Financiera Directa e Indirecta

  • Pago de Rescate: Para recuperar el acceso a los archivos cifrados y evitar la publicación de datos, las organizaciones se ven obligadas a pagar rescates significativos en criptomonedas, generalmente exigidos en cantidades que pueden variar desde decenas de miles hasta millones de dólares.
  • Costos de Recuperación y Restauración: Si la organización opta por no pagar el rescate, los costos de recuperación pueden ser igualmente altos. Esto incluye gastos en servicios de ciberseguridad, reemplazo de hardware o software comprometido, recuperación de datos desde copias de seguridad y contratación de consultores externos.
  • Impacto en los Ingresos: La interrupción de servicios y pérdida de clientes puede reducir significativamente los ingresos de una organización, especialmente si esta depende de sistemas en línea para operar.

4. Compromiso de la Infraestructura de Seguridad

  • Eliminación de Copias de Seguridad y Puntos de Restauración: NotLockBit ejecuta comandos para eliminar copias de seguridad locales (shadow copies), reduciendo drásticamente la capacidad de recuperación del sistema. Esto fuerza a las organizaciones a depender de copias de seguridad externas o de servicios de recuperación de datos de terceros.
  • Destrucción de Sistemas de Contingencia: En casos en los que las redes o sistemas de respaldo internos son compartidos, NotLockBit puede propagarse y comprometer incluso los sistemas de contingencia, extendiendo la pérdida de datos y limitando la capacidad de recuperación.
  • Riesgo de Propagación: Dependiendo de la configuración de la red y los permisos de usuario, NotLockBit puede moverse lateralmente y afectar múltiples sistemas, incrementando el alcance y severidad del ataque dentro de la infraestructura de la organización.

5. Impacto en la Reputación y Relación con Socios

  • Pérdida de Confianza en la Marca: Los clientes y socios comerciales pueden perder la confianza en la capacidad de la organización para proteger su información. Esto puede llevar a la pérdida de contratos o la terminación de asociaciones estratégicas.
  • Repercusión en la Imagen Pública: La cobertura mediática de un ataque de ransomware puede dañar la imagen pública de la organización, especialmente si la exfiltración y publicación de datos afecta a miles de clientes. Las organizaciones pueden verse forzadas a gastar en campañas de relaciones públicas para mitigar los daños en su reputación.

6. Requerimientos de Cumplimiento Regulatorio

  • Notificación Obligatoria de Brechas: Muchas legislaciones exigen que las organizaciones informen sobre las brechas de seguridad que involucran la filtración de datos personales. El cumplimiento de estas normativas puede tener implicaciones legales y financieras. Organizaciones en sectores regulados, como salud o servicios financieros, enfrentan sanciones adicionales si no informan las brechas dentro de los plazos establecidos.
  • Multas y Sanciones: Dependiendo de la jurisdicción, un ataque de ransomware con exfiltración de datos personales puede llevar a multas significativas bajo normativas como el Reglamento General de Protección de Datos (GDPR) en Europa o la Ley de Privacidad del Consumidor de California (CCPA) en Estados Unidos.

7. Impacto Psicológico y Organizacional

  • Estrés en el Personal: El personal de TI y ciberseguridad puede experimentar un alto nivel de estrés al enfrentar la presión de restaurar los sistemas rápidamente y contener el ataque. Esta presión puede resultar en agotamiento y reducir la moral dentro del equipo.
  • Desconfianza en los Sistemas Internos: Después de un ataque de ransomware, la organización puede volverse menos confiada en sus sistemas y políticas de seguridad, lo que lleva a cambios de procedimiento, entrenamiento de seguridad adicional y la posible reasignación de recursos internos para enfocarse más en la seguridad.

8. Lecciones Aprendidas y Reestructuración de Seguridad

  • Auditorías y Refuerzos de Seguridad: Los ataques de ransomware como NotLockBit obligan a las organizaciones a realizar auditorías exhaustivas de sus infraestructuras de seguridad. Esto incluye revisión y refuerzo de la configuración de la red, implementación de políticas de acceso y mejoras en la seguridad de puntos finales.
  • Políticas de Resiliencia y Continuidad: A raíz de un ataque, las organizaciones suelen implementar políticas de resiliencia y planes de continuidad de negocio. Esto puede incluir la implementación de copias de seguridad encriptadas fuera de la red, entrenamiento de respuesta ante incidentes y prácticas de simulación de ciberataques.

9. Reajuste de Recursos y Priorización de la Ciberseguridad

  • Incremento en la Inversión en Ciberseguridad: Las organizaciones afectadas por NotLockBit y otras variantes de ransomware suelen aumentar su inversión en ciberseguridad, asignando más recursos a herramientas de prevención de intrusiones, autenticación multifactor, monitoreo de redes y personal especializado.
  • Modificación de Estrategias de Ciberseguridad: Es común que después de un ataque de ransomware, las empresas revisen y actualicen sus estrategias de ciberseguridad para centrarse más en la detección temprana, la educación del usuario y la prevención de amenazas avanzadas, con el fin de evitar futuros incidentes similares.

Origen y motivación

NotLockBit surgió como una variante adaptada de ransomware en respuesta a la eficacia y notoriedad de ransomware previos, como LockBit, y se cree que fue desarrollado por ciberdelincuentes o grupos motivados económicamente. Inspirado en técnicas probadas de cifrado y extorsión, NotLockBit emplea un esquema de "doble extorsión" en el que no solo cifra los datos de las víctimas, sino que también exfiltra información sensible, lo cual le permite amenazar con la publicación de dichos datos si el rescate no es pagado. Su objetivo principal es generar ingresos sustanciales mediante el secuestro de datos de empresas y organizaciones, explotando la urgencia y vulnerabilidad de las víctimas.