Los expertos en seguridad afirman que el malware ha realizado muchas más mejoras sofisticadas, tanto en su script de cifrado como en su propagación, capaces de eludir las soluciones de seguridad convencionales.

En los últimos 2 meses, los expertos de Bkav han recibido continuamente solicitudes de ayuda de muchas empresas en Vietnam con la situación común de que las computadoras en la red interna estaban todas encriptadas al mismo tiempo y los datos no se podían guardar.

Los resultados de las investigaciones y análisis de numerosos casos muestran que el culpable del cifrado de datos es LockBit 3.0, también conocido como LockBit Black, un ransomware de un famoso grupo de hackers, recientemente destruido por la International Police Alliance (incluida la National Crime Agency del Reino Unido - NCA, la Oficina Federal de Investigaciones de los Estados Unidos - FBI y la Agencia de Policía de la Unión Europea - Europol).

LockBit Black tiene mejoras más sofisticadas que las variantes anteriores. Están diseñados específicamente para apuntar a servidores de administración de dominio de Windows en sistemas internos. Tras infiltrarse, el virus utiliza estos servidores para seguir propagándose por todo el sistema, desactivando soluciones de seguridad (desactivar antivirus, firewall), copiando y ejecutando código malicioso... De esta forma, el virus puede cifrar todas las máquinas del sistema interno al mismo tiempo sin tener que atacar cada máquina como antes.

LockBit Black no solo cambia sus métodos y público objetivo, sino que también tiene un escenario de cifrado de datos más peligroso. En lugar de cifrar los datos directamente al iniciarse, el virus realiza una escalada de privilegios, luego evita el UAC y finalmente reinicia la máquina de la víctima en modo seguro (un modo en el que solo se inician el sistema y algunas aplicaciones) y realiza el cifrado de datos en este modo. De esta forma, el malware puede eludir las soluciones de seguridad convencionales.

Para evitar ser atacado por LockBit y otros virus de cifrado de datos, los expertos de Bkav recomiendan que los usuarios y administradores de sistemas:

• Realice copias de seguridad de los datos importantes periódicamente.
  
• No abra los puertos de servicio internos a Internet cuando no sea necesario.
  
• Evaluar la seguridad de los servicios antes de abrirlos a Internet.
  
• Instale un software antivirus lo suficientemente potente para tener una protección constante.