Resumen:


En un análisis realizado por investigadores en ciberseguridad de TrendMicro, fue descubierta una nueva versión del ransomware LockBit que vulnera los servidores Linux y VMware ESXi.  

 

Anteriormente, la familia del ransomware LockBit era muy popular entre los ciberdelincuentes que buscaban comprometer dispositivos Windows. No obstante, con esta nueva variante los actores de amenaza tienen una amplia variedad de servidores y archivos para cifrar.

 

Identificada como LockBit Linux-ESXi Locker versión 1.0, esta variante utiliza una combinación de algoritmos complejos de Advanced Encryption Standard (AES), así como de Criptografía de Curva Elíptica (ECC), también cuenta con capacidades de registro que le permiten registrar:

·      Máquinas virtuales (VMs) 

·      Información del procesador

·      Volúmenes en el sistema

·      Total de archivos

·      Total de archivos encriptados

·      Total de VMs

·      VMs encriptadas

·      Tamaño total encriptado

·      Tiempo empleado en el cifrado

 

Como cualquier otro ransomware, LockBit Linux-ESXi Locker opera robando información de las redes de sus víctimas, amenazando con eliminar los datos o hacerlos públicos y pidiendo un rescate a cambio.

 

Es preciso destacar que este inoportuno lanzamiento de LockBit, fue anunciado en un foro clandestino conocido como “RAMP”, en donde los investigadores afirman se encuentra activo desde hace ya varios meses. De igual manera, su aparición podría significar que LockBit busca expandir sus horizontes o pretende aumentar la presión en los usuarios para que cedan a pagar por un rescate.

 

Cabe mencionar que si los servidores ESXi llegan a ser comprometidos, podrían significar una gran perdida para las organizaciones, ya que estos suelen almacenar diversas máquinas virtuales que contienen grandes cantidades de datos o servicios importantes, dentro de la red de las organizaciones. Por lo tanto, su cifrado podría tener repercusiones graves. Sumado a esto, Trend Micro ha afirmado que la nueva variante es aún más difícil de detectar en los dispositivos Linux.

 

Finalmente, los investigadores han descubierto que LockBit busca propagarse con esté nuevo ransomware, pidiéndole a los usuarios que entreguen los detalles de las cuentas corporativas a cambio de una suma de dinero. 

 

Por lo pronto, se les sugiere a los usuarios que empleen las mejores prácticas de ciberseguridad.

 

Recomendaciones:

Se le insta a todos los usuarios a mantener sus sistemas al día con las últimas actualizaciones de seguridad, cambiando constantemente sus contraseñas y activando la autenticación multifactor.

 

Referencias:

https://www.zdnet.com/article/log4j-attackers-continue-targeting-vmware-horizon-servers/

https://cloud7.news/security/lockbit-ransomware-is-now-targeting-linux-servers/

 

 

Folio 141