Introducción
En el panorama en constante evolución de las amenazas a la ciberseguridad, ha surgido una nueva variante de ransomware que se dirige principalmente a víctimas de Corea del Sur. Conocido como BlackBit, este ransomware se parece mucho al famoso LokiLocker, aunque con algunos cambios cosméticos. Operando bajo el modelo Ransomware-as-a-Service (RaaS), BlackBit muestra sus capacidades para establecer persistencia, evadir la defensa y perjudicar la recuperación.
Vulnerabilidad
BlackBit es un ejecutable de 32 bits construido con el compilador .NET y protegido por .NET Reactor que realiza varias acciones al ejecutarse. Comienza examinando la distribución del teclado del sistema objetivo. Tras seleccionar un sistema para la infección, BlackBit se copia a sí mismo en directorios específicos, como «C:\ProgramData\», y se denomina a sí mismo «winlogon.EXE» para garantizar su persistencia. Además, BlackBit se replica a sí mismo en «C:\Users<user>\AppData\Roaming» y crea una programación de tareas, lo que permite su ejecución automática cada vez que el usuario inicia sesión.
Para maximizar su impacto, BlackBit emplea multithreading para ejecutar un único comando que elimina las shadow copies y las copias de seguridad del sistema, y desactiva la recuperación del mismo. Antes de iniciar el proceso de cifrado, desactiva medidas de seguridad clave como Windows Defender, el firewall y el administrador de tareas. Además, BlackBit termina múltiples procesos y detiene servicios específicos, asegurando el éxito del cifrado de los archivos de la víctima. Durante el cifrado, modifica los nombres de los archivos a un formato como «[RickyMonkey@onionmail.org][Unique System ID]Actual-FileName.BlackBit», a la vez que genera una nota de rescate llamada «Restore-My-Files.txt».
Solución
Emplee medidas estrictas de control de acceso:
Implemente la autenticación multifactor (MFA) para mejorar la seguridad de los sistemas críticos y la información sensible. Deben aplicarse políticas de contraseñas fuertes para mitigar el riesgo de acceso no autorizado. El control de acceso basado en funciones (RBAC) garantiza que los usuarios sólo tengan acceso a los recursos necesarios para sus funciones designadas.
Implementación de la solución
Hillstone está equipado para detectar esta vulnerabilidad y proporcionar una sólida protección a través de su base de datos de firmas de prevención antivirus (2.3.230531 y posteriores). Productos como Hillstone NGFW, Hillstone CloudEdge, Hillstone Breach Detection System (BDS) y Hillstone Network Intrusion Prevention System (NIPS) pueden activar y desplegar automáticamente esta capacidad basándose en la base de datos de firmas.