Lockbit

LockBit, también conocido como LockBit Black o Lockbit 3.0, es uno de los mayores grupos de ransomware del mundo y ha orquestado extensos ciberataques en diversas industrias, afectando a miles de organizaciones en todo el mundo con sus estrategias implacables y adaptables.

Detectar los TTPs de Lockbit

Fondo

El origen de Lockbit

Desde su creación en septiembre de 2019, LockBit se ha hecho famoso en el mundo del cibercrimen, aprovechando su modelo RaaS y "StealBit" malware para atacar agresivamente a empresas e infraestructuras.

Con el paso de las versiones LockBit Red a 3.0, cada iteración introdujo sofisticadas características que suponían un reto para los análisis de seguridad. En 2023, apareció LockBit Green, que fusionaba características del extinto ransomware Conti, lo que ilustra la adaptabilidad dentro de los círculos de la ciberdelincuencia.

Sin embargo, la Operación Cronos de febrero de 2024 interrumpió las operaciones de LockBit, erosionando su credibilidad y poniendo de manifiesto los esfuerzos internacionales para combatir el ransomware. A pesar de que las fuerzas de seguridad se hicieron con el control de los sitios de Lockbit, se registraron nuevos ataques, lo que indica la persistencia del grupo.

^{Cartografía:}^OCD

Objetivos

Objetivos de Lockbit

Países objetivo de Lockbit

A pesar de las afirmaciones de Lockbit sobre su neutralidad política, un número considerable de sus víctimas parecen proceder de Estados miembros de la OTAN y sus aliados.

Aproximadamente el 50% de los asaltos relacionados con la cepa LockBit 3.0 han afectado a empresas de Estados Unidos. Los hackers que utilizaron Lockbit recibieron más de 91 millones de dólares en pagos de rescates de víctimas estadounidenses.

Brasil e India también son objetivos prioritarios.

^Fuente:^SOCRadar

Industrias objetivo de Lockbit

LockBit ataca con frecuencia el sector manufacturero, pero no se centra en ninguna industria en particular, lo que pone de manifiesto la indiscriminación de los objetivos del grupo.

Aunque normalmente se aprovechan de las pequeñas y medianas empresas, ni siquiera grandes firmas como el gigante informático Accenture son inmunes al alcance de LockBit.

^Fuente:^SOCRadar

Industrias objetivo de Lockbit

LockBit ataca con frecuencia el sector manufacturero, pero no se centra en ninguna industria en particular, lo que pone de manifiesto la indiscriminación de los objetivos del grupo.

Aunque normalmente se aprovechan de las pequeñas y medianas empresas, ni siquiera grandes firmas como el gigante informático Accenture son inmunes al alcance de LockBit.

^Fuente:^SOCRadar

Víctimas de Lockbit

Hasta la fecha, más de 1661 víctimas han sido presa de las operaciones maliciosas de Lockbit.

^Fuente:^{Ransomware.live}

Método de ataque

Método de ataque de Lockbit

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

Los participantes en LockBit 3.0 acceden a las redes mediante:

comprometer las credenciales de la cuenta existente
Utilización de las brechas RDP
explotar las vulnerabilidades de los sistemas de cara al público
navegación a sitios web maliciosos durante la navegación normal
realización de ataquesphishing

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

LockBit 3.0 trata de obtener mayores niveles de acceso cuando los permisos actuales son inadecuados y utiliza funciones de inicio de sesión automático para elevar los privilegios.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

LockBit 3.0 oculta su actividad cifrando las comunicaciones con los servidores de control y autoeliminándose tras su ejecución, y sólo procederá al descifrado cuando se suministre la contraseña correcta.

Para permanecer incrustado dentro de una red, LockBit 3.0 manipula las cuentas de usuario comprometidas y configura los sistemas para el inicio de sesión automático.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

LockBit 3.0 utiliza ProDump de Microsoft Sysinternals para extraer el contenido de la memoria de proceso de LSASS.exe.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

LockBit 3.0 analiza las redes mediante SoftPerfect Network Scanner, recopila datos detallados del sistema y del dominio, y evita infectar sistemas con configuraciones de idioma específicas.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Para la penetración en la red interna, LockBit 3.0 aprovecha el software de escritorio remoto Splashtop.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

LockBit 3.0 configura el mando y control mediante FileZilla y automatiza las interacciones shell seguras a través de Plink en sistemas Windows. Durante su funcionamiento, LockBit 3.0 ejecuta comandos y emplea Chocolatey, un gestor de paquetes de Windows, para la gestión del software.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

LockBit 3.0 emplea su herramienta a medida Stealbit y los populares servicios cloud para desviar datos de las redes.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

LockBit 3.0 interrumpe las operaciones borrando registros, vaciando la papelera de reciclaje, cifrando datos, deteniendo procesos y servicios, eliminando instantáneas y alterando la apariencia del sistema infectado con sus propias imágenes.

Acceso inicial

Los participantes en LockBit 3.0 acceden a las redes mediante:

comprometer las credenciales de la cuenta existente
Utilización de las brechas RDP
explotar las vulnerabilidades de los sistemas de cara al público
navegación a sitios web maliciosos durante la navegación normal
realización de ataquesphishing

Escalada de privilegios

LockBit 3.0 trata de obtener mayores niveles de acceso cuando los permisos actuales son inadecuados y utiliza funciones de inicio de sesión automático para elevar los privilegios.

Defensa Evasión

Para permanecer incrustado dentro de una red, LockBit 3.0 manipula las cuentas de usuario comprometidas y configura los sistemas para el inicio de sesión automático.

Acceso con credenciales

LockBit 3.0 utiliza ProDump de Microsoft Sysinternals para extraer el contenido de la memoria de proceso de LSASS.exe.

Descubrimiento

LockBit 3.0 analiza las redes mediante SoftPerfect Network Scanner, recopila datos detallados del sistema y del dominio, y evita infectar sistemas con configuraciones de idioma específicas.

Movimiento lateral

Para la penetración en la red interna, LockBit 3.0 aprovecha el software de escritorio remoto Splashtop.

Colección

Ejecución

Exfiltración

LockBit 3.0 emplea su herramienta a medida Stealbit y los populares servicios cloud para desviar datos de las redes.

Impacto

MITRE ATT&CK Cartografía

TTPs utilizados por Lockbit

LockBit emplea TTP (Tácticas, Técnicas y Procedimientos) más modulares y evasivos que sus predecesores, lo que refleja características compartidas con las familias de ransomware BlackMatter y BlackCat.

TA0001: Initial Access

T1566

Phishing

T1190

Exploit Public-Facing Application

T1189

Drive-by Compromise

T1133

External Remote Services

T1078

Valid Accounts

TA0002: Execution

No items found.

TA0003: Persistence

T1547

Boot or Logon Autostart Execution

T1546

Event Triggered Execution

T1078

Valid Accounts

TA0004: Privilege Escalation

T1547

Boot or Logon Autostart Execution

T1546

Event Triggered Execution

T1078

Valid Accounts

TA0005: Defense Evasion

T1480

Execution Guardrails

T1027

Obfuscated Files or Information

T1070

Indicator Removal

T1078

Valid Accounts

TA0006: Credential Access

T1003

OS Credential Dumping

TA0007: Discovery

T1614

System Location Discovery

T1082

System Information Discovery

T1046

Network Service Discovery

TA0008: Lateral Movement

T1072

Software Deployment Tools

TA0009: Collection

No items found.

TA0011: Command and Control

No items found.

TA0010: Exfiltration

No items found.

TA0040: Impact

T1486

Data Encrypted for Impact

Detección de plataformas

Cómo detectar Lockbit con Vectra AI

Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque de ransomware.

AWS Suspect Admin Privilege Granting

External Remote Access

M365 Ransomware

M365 Suspicious SharePoint Operation

Privilege Anomaly: Unusual Account on Host

Ransomware File Activity

Ver más detecciones

Evalúe su exposición a los ataques

Preguntas frecuentes

¿Qué es el ransomware LockBit?

LockBit es un ransomware como servicio (RaaS) que cifra los datos de una organización y pide un rescate por la clave de descifrado. Es conocido por su sigilo, velocidad y el uso de un doble esquema de extorsión.

¿Cómo consigue LockBit el acceso inicial a las redes?

LockBit suele obtener el acceso inicial a través de varios medios, incluyendo la explotación de protocolos de escritorio remoto (RDP), phishing, spear-phishing, y el uso de credenciales de cuentas previamente violadas.

¿Qué diferencia a LockBit 3.0 de sus versiones anteriores?

LockBit 3.0 es más modular y evasivo, con un cifrado mejorado y la posibilidad de personalizar la carga útil del ataque. Ha incorporado características de otros ransomware como BlackMatter y BlackCat.

¿Se ha visto LockBit implicada en algún incidente cibernético significativo?

Sí, LockBit ha sido responsable de numerosos ataques a empresas en todo el mundo, incluidos incidentes de gran repercusión que han afectado a grandes corporaciones multinacionales.

¿A qué sectores suele dirigirse LockBit?

LockBit no se dirige a un sector específico. Se sabe que se dirige a una amplia gama de industrias, como la sanidad, la educación y la industria manufacturera.

¿Cómo gestiona LockBit el proceso de rescate?

LockBit suele dejar una nota de rescate con instrucciones de pago dentro del sistema comprometido. El pago suele exigirse en criptomoneda, y las negociaciones a veces se llevan a cabo en la dark web.

¿Qué medidas defensivas pueden ser eficaces contra LockBit?

Actualizar y parchear los sistemas con regularidad, implantar controles de acceso sólidos, impartir con frecuencia cursos de concienciación sobre seguridad, utilizar herramientas avanzadas de detección de amenazas y mantener copias de seguridad offline son defensas fundamentales.

¿Existen herramientas de descifrado para los archivos encriptados por LockBit?

Si se ha visto afectado por LockBit, la National Crime Agency (NCA) ha adquirido 1.000 claves de descifrado del sitio de LockBit que pueden ayudar a descifrar los datos robados.

¿Cuál es la mejor forma de actuar si mi red se ve comprometida por LockBit?

Aísle los sistemas afectados, ponga en marcha un plan de respuesta a incidentes y póngase en contacto con las fuerzas de seguridad y los profesionales de la ciberseguridad. Evita pagar el rescate, ya que no garantiza la recuperación de los datos y puede financiar nuevas actividades delictivas.

¿Qué se sabe de los operadores que están detrás de LockBit?

Se cree que los operadores forman parte de un sofisticado grupo de ciberdelincuentes que opera con un modelo RaaS, reclutando afiliados para propagar el ransomware mientras permanecen ocultos y mantienen el anonimato.

Lockbit

El origen de Lockbit

Objetivos de Lockbit

Países objetivo de Lockbit

Industrias objetivo de Lockbit

Industrias objetivo de Lockbit

Víctimas de Lockbit

Método de ataque de Lockbit

TTPs utilizados por Lockbit

Cómo detectar Lockbit con Vectra AI

AWS Suspect Admin Privilege Granting

External Remote Access

M365 Ransomware

M365 Suspicious SharePoint Operation

Privilege Anomaly: Unusual Account on Host

Ransomware File Activity

Preguntas frecuentes

¿Qué es el ransomware LockBit?

¿Cómo consigue LockBit el acceso inicial a las redes?

¿Qué diferencia a LockBit 3.0 de sus versiones anteriores?

¿Se ha visto LockBit implicada en algún incidente cibernético significativo?

¿A qué sectores suele dirigirse LockBit?

¿Cómo gestiona LockBit el proceso de rescate?

¿Qué medidas defensivas pueden ser eficaces contra LockBit?

¿Existen herramientas de descifrado para los archivos encriptados por LockBit?

¿Cuál es la mejor forma de actuar si mi red se ve comprometida por LockBit?

¿Qué se sabe de los operadores que están detrás de LockBit?

¿Está su organización a salvo de los ataques del ransomware Lockbit?