Lockbit
LockBit, también conocido como LockBit Black o Lockbit 3.0, es uno de los mayores grupos de ransomware del mundo y ha orquestado extensos ciberataques en diversas industrias, afectando a miles de organizaciones en todo el mundo con sus estrategias implacables y adaptables.
El origen de Lockbit
Desde su creación en septiembre de 2019, LockBit se ha hecho famoso en el mundo del cibercrimen, aprovechando su modelo RaaS y "StealBit" malware para atacar agresivamente a empresas e infraestructuras.
Con el paso de las versiones LockBit Red a 3.0, cada iteración introdujo sofisticadas características que suponían un reto para los análisis de seguridad. En 2023, apareció LockBit Green, que fusionaba características del extinto ransomware Conti, lo que ilustra la adaptabilidad dentro de los círculos de la ciberdelincuencia.
Sin embargo, la Operación Cronos de febrero de 2024 interrumpió las operaciones de LockBit, erosionando su credibilidad y poniendo de manifiesto los esfuerzos internacionales para combatir el ransomware. A pesar de que las fuerzas de seguridad se hicieron con el control de los sitios de Lockbit, se registraron nuevos ataques, lo que indica la persistencia del grupo.
Países objetivo de Lockbit
A pesar de las afirmaciones de Lockbit sobre su neutralidad política, un número considerable de sus víctimas parecen proceder de Estados miembros de la OTAN y sus aliados.
Aproximadamente el 50% de los asaltos relacionados con la cepa LockBit 3.0 han afectado a empresas de Estados Unidos. Los hackers que utilizaron Lockbit recibieron más de 91 millones de dólares en pagos de rescates de víctimas estadounidenses.
Brasil e India también son objetivos prioritarios.
Industrias objetivo de Lockbit
LockBit ataca con frecuencia el sector manufacturero, pero no se centra en ninguna industria en particular, lo que pone de manifiesto la indiscriminación de los objetivos del grupo.
Aunque normalmente se aprovechan de las pequeñas y medianas empresas, ni siquiera grandes firmas como el gigante informático Accenture son inmunes al alcance de LockBit.
Fuente: SOCRadar
Víctimas de Lockbit
Hasta la fecha, 1999 víctimas han sido presa de las operaciones maliciosas de Lockbit.
Método de ataque de Lockbit
Los participantes en LockBit 3.0 acceden a las redes mediante:
- comprometer las credenciales de la cuenta existente
- Utilización de las brechas RDP
- explotar las vulnerabilidades de los sistemas de cara al público
- navegación a sitios web maliciosos durante la navegación normal
- realización de ataquesphishing
LockBit 3.0 trata de obtener mayores niveles de acceso cuando los permisos actuales son inadecuados y utiliza funciones de inicio de sesión automático para elevar los privilegios.
LockBit 3.0 oculta su actividad cifrando las comunicaciones con los servidores de control y autoeliminándose tras su ejecución, y sólo procederá al descifrado cuando se suministre la contraseña correcta.
Para permanecer incrustado dentro de una red, LockBit 3.0 manipula las cuentas de usuario comprometidas y configura los sistemas para el inicio de sesión automático.
LockBit 3.0 utiliza ProDump de Microsoft Sysinternals para extraer el contenido de la memoria de proceso de LSASS.exe.
LockBit 3.0 analiza las redes mediante SoftPerfect Network Scanner, recopila datos detallados del sistema y del dominio, y evita infectar sistemas con configuraciones de idioma específicas.
Para la penetración en la red interna, LockBit 3.0 aprovecha el software de escritorio remoto Splashtop.
LockBit 3.0 configura el mando y control mediante FileZilla y automatiza las interacciones shell seguras a través de Plink en sistemas Windows. Durante su funcionamiento, LockBit 3.0 ejecuta comandos y emplea Chocolatey, un gestor de paquetes de Windows, para la gestión del software.
LockBit 3.0 emplea su herramienta a medida Stealbit y los populares servicios cloud para desviar datos de las redes.
LockBit 3.0 interrumpe las operaciones borrando registros, vaciando la papelera de reciclaje, cifrando datos, deteniendo procesos y servicios, eliminando instantáneas y alterando la apariencia del sistema infectado con sus propias imágenes.
Los participantes en LockBit 3.0 acceden a las redes mediante:
- comprometer las credenciales de la cuenta existente
- Utilización de las brechas RDP
- explotar las vulnerabilidades de los sistemas de cara al público
- navegación a sitios web maliciosos durante la navegación normal
- realización de ataquesphishing
LockBit 3.0 trata de obtener mayores niveles de acceso cuando los permisos actuales son inadecuados y utiliza funciones de inicio de sesión automático para elevar los privilegios.
LockBit 3.0 oculta su actividad cifrando las comunicaciones con los servidores de control y autoeliminándose tras su ejecución, y sólo procederá al descifrado cuando se suministre la contraseña correcta.
Para permanecer incrustado dentro de una red, LockBit 3.0 manipula las cuentas de usuario comprometidas y configura los sistemas para el inicio de sesión automático.
LockBit 3.0 utiliza ProDump de Microsoft Sysinternals para extraer el contenido de la memoria de proceso de LSASS.exe.
LockBit 3.0 analiza las redes mediante SoftPerfect Network Scanner, recopila datos detallados del sistema y del dominio, y evita infectar sistemas con configuraciones de idioma específicas.
Para la penetración en la red interna, LockBit 3.0 aprovecha el software de escritorio remoto Splashtop.
LockBit 3.0 configura el mando y control mediante FileZilla y automatiza las interacciones shell seguras a través de Plink en sistemas Windows. Durante su funcionamiento, LockBit 3.0 ejecuta comandos y emplea Chocolatey, un gestor de paquetes de Windows, para la gestión del software.
LockBit 3.0 emplea su herramienta a medida Stealbit y los populares servicios cloud para desviar datos de las redes.
LockBit 3.0 interrumpe las operaciones borrando registros, vaciando la papelera de reciclaje, cifrando datos, deteniendo procesos y servicios, eliminando instantáneas y alterando la apariencia del sistema infectado con sus propias imágenes.
TTPs utilizados por Lockbit
Cómo detectar Lockbit con Vectra AI
Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque de ransomware.
Preguntas frecuentes
¿Qué es el ransomware LockBit?
LockBit es un ransomware como servicio (RaaS) que cifra los datos de una organización y pide un rescate por la clave de descifrado. Es conocido por su sigilo, velocidad y el uso de un doble esquema de extorsión.
¿Cómo consigue LockBit el acceso inicial a las redes?
LockBit suele obtener el acceso inicial a través de varios medios, incluyendo la explotación de protocolos de escritorio remoto (RDP), phishing, spear-phishing, y el uso de credenciales de cuentas previamente violadas.
¿Qué diferencia a LockBit 3.0 de sus versiones anteriores?
LockBit 3.0 es más modular y evasivo, con un cifrado mejorado y la posibilidad de personalizar la carga útil del ataque. Ha incorporado características de otros ransomware como BlackMatter y BlackCat.
¿Se ha visto LockBit implicada en algún incidente cibernético significativo?
Sí, LockBit ha sido responsable de numerosos ataques a empresas en todo el mundo, incluidos incidentes de gran repercusión que han afectado a grandes corporaciones multinacionales.
¿A qué sectores suele dirigirse LockBit?
LockBit no se dirige a un sector específico. Se sabe que se dirige a una amplia gama de industrias, como la sanidad, la educación y la industria manufacturera.
¿Cómo gestiona LockBit el proceso de rescate?
LockBit suele dejar una nota de rescate con instrucciones de pago dentro del sistema comprometido. El pago suele exigirse en criptomoneda, y las negociaciones a veces se llevan a cabo en la dark web.
¿Qué medidas defensivas pueden ser eficaces contra LockBit?
Actualizar y parchear los sistemas con regularidad, implantar controles de acceso sólidos, impartir con frecuencia cursos de concienciación sobre seguridad, utilizar herramientas avanzadas de detección de amenazas y mantener copias de seguridad offline son defensas fundamentales.
¿Existen herramientas de descifrado para los archivos encriptados por LockBit?
Si se ha visto afectado por LockBit, la National Crime Agency (NCA) ha adquirido 1.000 claves de descifrado del sitio de LockBit que pueden ayudar a descifrar los datos robados.
¿Cuál es la mejor forma de actuar si mi red se ve comprometida por LockBit?
Aísle los sistemas afectados, ponga en marcha un plan de respuesta a incidentes y póngase en contacto con las fuerzas de seguridad y los profesionales de la ciberseguridad. Evita pagar el rescate, ya que no garantiza la recuperación de los datos y puede financiar nuevas actividades delictivas.
¿Qué se sabe de los operadores que están detrás de LockBit?
Se cree que los operadores forman parte de un sofisticado grupo de ciberdelincuentes que opera con un modelo RaaS, reclutando afiliados para propagar el ransomware mientras permanecen ocultos y mantienen el anonimato.