LockBit Green y el phishing dirigido a organizaciones

Introducción

En los últimos meses hemos publicado informes privados sobre una variedad de temas. Asimismo, hemos escrito sobre el malware dirigido a Brasil, sobre los intentos de fraude del CEO, Andariel, LockBit, etc. Para este artículo hemos seleccionado tres informes privados, en concreto los relacionados con LockBit y las campañas de phishing dirigidas a empresas, y hemos preparado extractos de los mismos. Si tiene alguna pregunta o necesita más información sobre nuestro servicio de informes sobre crimeware, escríbanos a crimewareintel@kaspersky.com.

Phishing y un kit

Hace poco nos topamos con un caso de Business Email Compromise (BEC), activo desde al menos el tercer trimestre de 2022. El objetivo de los atacantes son las empresas de habla alemana de la región DACH. Al igual que en muchos otros casos de BEC, registraron un nombre de dominio muy parecido al de la organización atacada, pero con una o dos letras diferentes. Por una razón desconocida, el campo Reply-to contiene una dirección de correo electrónico diferente a la del campo From. La dirección de correo electrónico Reply-to no finge ser el dominio de la organización de destino.

A diferencia de las campañas BEC, que son selectivas y requieren bastante esfuerzo por parte de los delincuentes, las campañas de phishing ordinarias son más o menos sencillas. Esto crea oportunidades para la automatización, y el kit de phishing SwitchSymb es un ejemplo del uso de esta técnica.

A finales de enero de este año observamos un pico de correos electrónicos de phishing de una campaña que seguimos de cerca y que apunta a usuarios empresariales. Al examinar los correos de phishing enviados, vimos que contenían un enlace a un “formulario de confirmación de correo electrónico”. Si alguien hace clic en un enlace, acaba en una página muy parecida a la del dominio del destinatario. El kit de phishing está diseñado para servir múltiples campañas a la vez mientras se ejecuta una instancia en el servidor web. Esto es fácil de ver cuando se cambia la URL de la página, es decir, la referencia al usuario objetivo que esta contiene. Al hacerlo, la página de phishing también cambia de diseño.

Ejemplo de una página de phishing creada con el kit de phishing SwitchSymb

LockBit Green

LockBit es uno de los grupos de ransomware más prolíficos de los que están activos en este momento, y ataca a empresas de todo el mundo. Con el tiempo, fueron adoptando códigos de otros grupos de ransomware, como BlackMatter y DarkSide, para facilitar a sus posibles afiliados la explotación del ransomware.

A partir de febrero de este año, detectamos una nueva variante llamada LockBit Green, que adoptaba código del ya desaparecido grupo de ransomware Conti. Según nuestra solución Kaspersky Threat Attribution Engine, el 25% del código de Conti se incorporó a LockBit.

KTAE muestra similitudes entre LockBit Green y Conti

En el código adoptado, destacan tres piezas: la nota del ransomware, las opciones de la línea de comandos y el esquema de cifrado. Adoptar la nota de rescate es lo que menos sentido tiene. No se nos ocurrió ninguna buena razón que lo justifique, pero aun así lo hicieron. En cuanto a las opciones de línea de comandos, se agregaron las mismas opciones que había disponibles en Conti en Lockbit Green. Las opciones disponibles para su ejecución son:

Por último, los atacantes adoptaron el esquema de cifrado de Conti. Ahora utilizan una implementación personalizada de ChaCha8 para cifrar archivos con una clave y un nonce de generación aleatoria que se guardan y cifran utilizando una clave RSA pública incluida en el código.

Difusión binaria entre ambas familias

LockBit multiplataforma

Hace poco nos topamos con un archivo ZIP, subido a un multiescáner, que contenía muestras de LockBit para varias arquitecturas. Por ejemplo, Apple M1, ARM v6, ARM v7, FreeBSD y muchas más. La siguiente pregunta sería, obviamente: ¿Qué pasa con la similitud entre bases de códigos?

Para responderla, utilizamos KTAE (Kaspersky Threat Attribution Engine). Bastó con procesar el archivo ZIP descargado para ver que todas las muestras derivan de la versión LockBit Linux/ESXi sobre la que ya escribimos en un informe privado.

Código fuente compartido con LockBit Linux

Un análisis más detallado de las muestras nos lleva a creer que LockBit está probando su ransomware en diferentes arquitecturas, antes de desplegarlo en el mundo real. Por ejemplo, la muestra para macOS no está firmada, por lo que no puede ejecutarse. También el método de cifrado de cadenas es sencillo: XOR de un byte.

No obstante, basándonos en lo que hemos encontrado, creemos que LockBit se dirigirá a más plataformas en un futuro (próximo).

Conclusión

La ciberdelincuencia es enorme y está formada por muchos actores y grupos con una fluida composición. Unos grupos adoptan los códigos de otros y los afiliados (que también pueden considerarse grupos) los utilizan y adaptan a diferentes tipos de malware. Además, estos grupos siguen desarrollando su malware, le agregan funciones y ofrecen compatibilidad con múltiples plataformas (antes no compatibles), una tendencia que se mantiene desde hace tiempo.

Cuando se produce un incidente, es importante que averigüe quién le tiene en la mira. Esto ayuda a hacer más precisa la respuesta al incidente y a evitar daños mayores. El uso de KTAE ayuda a su vez a atribuir códigos a determinados grupos y a detectar similitudes entre distintas familias. Esta información también puede ayudar a tomar contramedidas proactivas para impedir que se produzcan incidentes.

Por último, los delincuentes a menudo recurren a viejos trucos, como el phishing, que siguen siendo muy eficaces a pesar de su antigüedad. Estar al tanto de las últimas tendencias puede evitar que se produzcan casos como el BEC.

Los informes de inteligencia pueden ser de gran ayuda para protegerse contra estas amenazas. Si quiere estar al día con las últimas TTP utilizadas por los delincuentes o tiene preguntas sobre nuestros informes privados, escríbanos a crimewareintel@kaspersky.com.