Las políticas de grupo permiten que el ransomware se propague

El ransomware LockBit 2.0 puede propagarse a través de una red local mediante las políticas de grupo creadas en un controlador de dominio secuestrado.

La creación de ransomware se convirtió hace ya un tiempo en una industria clandestina, con servicio de soporte técnico, centros de prensa y campañas publicitarias incluidas. Como sucede con cualquier otra industria, para crear un producto competitivo es necesaria una mejora continua. LockBit, por ejemplo, es el más reciente de una serie de grupos de ciberdelincuentes que publicitan la capacidad de automatizar la infección de ordenadores locales mediante un controlador de dominio.

LockBit sigue el modelo de Ransomware como Servicio (RaaS por sus siglas en inglés) mediante el cual proporciona a sus clientes (los atacantes) la infraestructura y el malware a cambio de una parte del rescate. Penetrar en la red de la víctima es responsabilidad del contratista y, en lo que respecta a la distribución del ransomware por la red, LockBit ha diseñado una tecnología bastante interesante.

La distribución de LockBit 2.0

De acuerdo con Bleeping Computer, después de que los atacantes obtienen el acceso a la red y llegan al controlador de dominio, ejecutan el malware ahí y crean nuevas políticas de grupo de usuarios, que posteriormente se implementan en cada dispositivo de la red. En primer lugar, las políticas desactivan la tecnología de seguridad integrada. Después, otras políticas crean una tarea programada en todos los equipos con Windows para ejecutar el archivo del ransomware.

Bleeping Computer cita al investigador Vitali Kremez cuando afirma que el ransomware utiliza la API del Directorio Activo de Windows para realizar consultas de Protocolo ligero de acceso a directorios (LADP por sus siglas en inglés) y obtener así una lista de ordenadores. Después, LockBit evita el Control de cuentas de usuario (UAC) y se ejecuta en silencio, sin activar ninguna alerta en el dispositivo que está siendo cifrado.

Al parecer, esto representa la primera propagación de malware de mercado masivo mediante las políticas de grupo de usuarios. Además, LockBit 2.0 entrega las notas de rescate de una forma bastante singular, imprimiéndolas en todas las impresoras conectadas a la red.

¿Cómo puedo proteger mi empresa de amenazas similares?

Ten en cuenta que el controlador de dominio es en realidad un servidor de Windows y, como tal, necesita protección. Kaspersky Security for Windows Server, que se incluye en la mayoría de nuestras soluciones de seguridad para endpoints corporativos y protege a los servidores que ejecutan Windows de casi todas las amenazas actuales, debe formar parte de tu arsenal.

Sin embargo, la propagación del ransomware mediante políticas de grupo representa la última etapa de un ataque. La actividad maliciosa debería resultar evidente mucho antes, por ejemplo, cuando los atacantes accedan por primera vez a la red o intenten secuestrar el controlador de dominio. Las soluciones Managed Detection and Response resultan particularmente efectivas para detectar las señales de este tipo de ataques.

Y lo que es más importante, con frecuencia, los ciberdelincuentes utilizan técnicas de ingeniería social y correo electrónico con phishing para obtener el acceso inicial. Para evitar que tus empleados caigan en estos trucos, mejora su concienciación en materia de ciberseguridad mediante sesiones de formación periódicas.

Consejos