Lockbit
LockBit, también conocido como LockBit Black o Lockbit 3.0, es uno de los mayores grupos de ransomware del mundo y ha orquestado extensos ciberataques en diversas industrias, afectando a miles de organizaciones en todo el mundo con sus estrategias implacables y adaptables.
El origen de Lockbit
Los orígenes de LockBit se remontan a septiembre de 2019, cuando se observó la primera actividad conocida del ransomware "ABCD", considerado el predecesor de LockBit. En enero de 2020, LockBit había comenzado a aparecer con su nombre actual en foros de ciberdelincuencia en ruso. Desde ese punto de apoyo inicial, se ha convertido rápidamente en una de las familias de ransomware más prominentes en el panorama de la ciberdelincuencia, adoptando un modelo de ransomware como servicio (RaaS) que incluye un sitio de filtración dedicado (DLS) y un portal de negociación de rescates. Los afiliados se registran para utilizar los creadores de ransomware de LockBit, gestionan nuevas víctimas a través del DLS y también pueden emplear "StealBit", una herramienta de robo de información incorporada en versiones posteriores de LockBit.
Un hito importante llegó en junio de 2021 con el debut de LockBit 2.0 (a menudo denominado LockBit Red). Aunque la popularidad y el impacto de LockBit ya estaban creciendo, este lanzamiento amplió drásticamente la visibilidad del grupo. En octubre de 2021, apareció la versión 1.0 de LockBit Linux-ESXi Locker, que amplió las capacidades de ataque de LockBit a los sistemas Linux y VMware ESXi. Los operadores del ransomware continuaron evolucionando su producto en marzo de 2022 con la aparición de LockBit 3.0, también llamado LockBit Black, unanueva variante que comparte similitudes de código con los ransomware BlackMatter y Alphv (BlackCat). Aunque se informó de su primera aparición en marzo de 2022, muchos apuntan a junio de 2022 como una fecha de lanzamiento significativa, cuando LockBit 3.0 se adoptó de forma generalizada. LockBit Red (el renombrado LockBit 2.0) siguió siendo el creador por defecto para la mayoría de los afiliados, mientras que LockBit Black se reservó para los afiliados que habían exigido más de 2,5 millones de dólares en rescates. Esta versión también introdujo funciones avanzadas, como la eliminación de procesos específicos o la definición de listas de archivos y dispositivos permitidos, e incluyó un programa de recompensas por errores que ofrecía recompensas de hasta 10 millones de dólares.
En septiembre de 2022, una filtración del constructor de LockBit 3.0 permitió a afiliados ajenos a LockBit generar cargas útiles de LockBit, lo que aceleró su propagación. La siguiente iteración del ransomware, LockBit Green, se dio a conocer en enero de 2023, supuestamente incorporando el código fuente filtrado de la versión 3 de Conti. A diferencia de LockBit Black, LockBit Green no exigía pruebas de grandes demandas de rescate, lo que lo convertía en una oferta más inclusiva para una gama más amplia de operadores cibercriminales. Cuatro meses más tarde, en abril de 2023, apareció una nueva variante de LockBit para macOS en repositorios de malware de código abierto, que reflejaba en gran medida la funcionalidad de la versión de LockBit para Linux/ESXi y ponía de manifiesto el continuo esfuerzo del grupo por infectar tantas plataformas como fuera posible.
La presión de las fuerzas de seguridad contra LockBit se intensificó en febrero de 2024, cuando la "Operación Cronos" -un esfuerzo multinacional coordinado- tuvo como resultado la incautación temporal de su DLS y su portal afiliado. Aunque los servicios de LockBit se restablecieron cinco días después, otras acciones en mayo de 2024 condujeron a acusaciones y sanciones contra varios de los miembros clave del grupo, incluido un ciudadano ruso identificado como desarrollador y administrador principal. En diciembre de 2024, LockBit contrarrestó estos contratiempos lanzando LockBit 4.0que eliminó la opción de generar cargas útiles LockBit Red. A pesar de las continuas interrupciones, LockBit ha mantenido su posición como una formidable fuerza de ransomware actualizando regularmente sus ofertas y continuando atrayendo afiliados a través de su marco RaaS.
Fuentes: CISA & Crowdstrike
Países objetivo de Lockbit
A pesar de las afirmaciones de Lockbit sobre su neutralidad política, un número considerable de sus víctimas parecen proceder de Estados miembros de la OTAN y sus aliados.
Aproximadamente el 50% de los asaltos relacionados con la cepa LockBit 3.0 han afectado a empresas de Estados Unidos. Los hackers que utilizaron Lockbit recibieron más de 91 millones de dólares en pagos de rescates de víctimas estadounidenses.
Brasil e India también son objetivos prioritarios.
Industrias objetivo de Lockbit
LockBit ataca con frecuencia el sector manufacturero, pero no se centra en ninguna industria en particular, lo que pone de manifiesto la indiscriminación de los objetivos del grupo.
Aunque normalmente se aprovechan de las pequeñas y medianas empresas, ni siquiera grandes firmas como el gigante informático Accenture son inmunes al alcance de LockBit.
Fuente: SOCRadar
Víctimas de Lockbit
Hasta la fecha, 1999 víctimas han sido presa de las operaciones maliciosas de Lockbit.
Método de ataque de Lockbit
Los participantes en LockBit 3.0 acceden a las redes mediante:
- comprometer las credenciales de la cuenta existente
- Utilización de las brechas RDP
- explotar las vulnerabilidades de los sistemas de cara al público
- navegación a sitios web maliciosos durante la navegación normal
- realización de ataquesphishing
LockBit 3.0 trata de obtener mayores niveles de acceso cuando los permisos actuales son inadecuados y utiliza funciones de inicio de sesión automático para elevar los privilegios.
LockBit 3.0 oculta su actividad cifrando las comunicaciones con los servidores de control y autoeliminándose tras su ejecución, y sólo procederá al descifrado cuando se suministre la contraseña correcta.
Para permanecer incrustado dentro de una red, LockBit 3.0 manipula las cuentas de usuario comprometidas y configura los sistemas para el inicio de sesión automático.
LockBit 3.0 utiliza ProDump de Microsoft Sysinternals para extraer el contenido de la memoria de proceso de LSASS.exe.
LockBit 3.0 analiza las redes mediante SoftPerfect Network Scanner, recopila datos detallados del sistema y del dominio, y evita infectar sistemas con configuraciones de idioma específicas.
Para la penetración en la red interna, LockBit 3.0 aprovecha el software de escritorio remoto Splashtop.
LockBit 3.0 configura el mando y control mediante FileZilla y automatiza las interacciones shell seguras a través de Plink en sistemas Windows. Durante su funcionamiento, LockBit 3.0 ejecuta comandos y emplea Chocolatey, un gestor de paquetes de Windows, para la gestión del software.
LockBit 3.0 emplea su herramienta a medida Stealbit y los populares servicios cloud para desviar datos de las redes.
LockBit 3.0 interrumpe las operaciones borrando registros, vaciando la papelera de reciclaje, cifrando datos, deteniendo procesos y servicios, eliminando instantáneas y alterando la apariencia del sistema infectado con sus propias imágenes.
Los participantes en LockBit 3.0 acceden a las redes mediante:
- comprometer las credenciales de la cuenta existente
- Utilización de las brechas RDP
- explotar las vulnerabilidades de los sistemas de cara al público
- navegación a sitios web maliciosos durante la navegación normal
- realización de ataquesphishing
LockBit 3.0 trata de obtener mayores niveles de acceso cuando los permisos actuales son inadecuados y utiliza funciones de inicio de sesión automático para elevar los privilegios.
LockBit 3.0 oculta su actividad cifrando las comunicaciones con los servidores de control y autoeliminándose tras su ejecución, y sólo procederá al descifrado cuando se suministre la contraseña correcta.
Para permanecer incrustado dentro de una red, LockBit 3.0 manipula las cuentas de usuario comprometidas y configura los sistemas para el inicio de sesión automático.
LockBit 3.0 utiliza ProDump de Microsoft Sysinternals para extraer el contenido de la memoria de proceso de LSASS.exe.
LockBit 3.0 analiza las redes mediante SoftPerfect Network Scanner, recopila datos detallados del sistema y del dominio, y evita infectar sistemas con configuraciones de idioma específicas.
Para la penetración en la red interna, LockBit 3.0 aprovecha el software de escritorio remoto Splashtop.
LockBit 3.0 configura el mando y control mediante FileZilla y automatiza las interacciones shell seguras a través de Plink en sistemas Windows. Durante su funcionamiento, LockBit 3.0 ejecuta comandos y emplea Chocolatey, un gestor de paquetes de Windows, para la gestión del software.
LockBit 3.0 emplea su herramienta a medida Stealbit y los populares servicios cloud para desviar datos de las redes.
LockBit 3.0 interrumpe las operaciones borrando registros, vaciando la papelera de reciclaje, cifrando datos, deteniendo procesos y servicios, eliminando instantáneas y alterando la apariencia del sistema infectado con sus propias imágenes.
TTPs utilizados por Lockbit
Cómo detectar Lockbit con Vectra AI
Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque de ransomware.
Preguntas frecuentes
¿Qué es el ransomware LockBit?
LockBit es un ransomware como servicio (RaaS) que cifra los datos de una organización y pide un rescate por la clave de descifrado. Es conocido por su sigilo, velocidad y el uso de un doble esquema de extorsión.
¿Cómo consigue LockBit el acceso inicial a las redes?
LockBit suele obtener el acceso inicial a través de varios medios, incluyendo la explotación de protocolos de escritorio remoto (RDP), phishing, spear-phishing, y el uso de credenciales de cuentas previamente violadas.
¿Qué diferencia a LockBit 3.0 de sus versiones anteriores?
LockBit 3.0 es más modular y evasivo, con un cifrado mejorado y la posibilidad de personalizar la carga útil del ataque. Ha incorporado características de otros ransomware como BlackMatter y BlackCat.
¿Se ha visto LockBit implicada en algún incidente cibernético significativo?
Sí, LockBit ha sido responsable de numerosos ataques a empresas en todo el mundo, incluidos incidentes de gran repercusión que han afectado a grandes corporaciones multinacionales.
¿A qué sectores suele dirigirse LockBit?
LockBit no se dirige a un sector específico. Se sabe que se dirige a una amplia gama de industrias, como la sanidad, la educación y la industria manufacturera.
¿Cómo gestiona LockBit el proceso de rescate?
LockBit suele dejar una nota de rescate con instrucciones de pago dentro del sistema comprometido. El pago suele exigirse en criptomoneda, y las negociaciones a veces se llevan a cabo en la dark web.
¿Qué medidas defensivas pueden ser eficaces contra LockBit?
Actualizar y parchear los sistemas con regularidad, implantar controles de acceso sólidos, impartir con frecuencia cursos de concienciación sobre seguridad, utilizar herramientas avanzadas de detección de amenazas y mantener copias de seguridad offline son defensas fundamentales.
¿Existen herramientas de descifrado para los archivos encriptados por LockBit?
Si se ha visto afectado por LockBit, la National Crime Agency (NCA) ha adquirido 1.000 claves de descifrado del sitio de LockBit que pueden ayudar a descifrar los datos robados.
¿Cuál es la mejor forma de actuar si mi red se ve comprometida por LockBit?
Aísle los sistemas afectados, ponga en marcha un plan de respuesta a incidentes y póngase en contacto con las fuerzas de seguridad y los profesionales de la ciberseguridad. Evita pagar el rescate, ya que no garantiza la recuperación de los datos y puede financiar nuevas actividades delictivas.
¿Qué se sabe de los operadores que están detrás de LockBit?
Se cree que los operadores forman parte de un sofisticado grupo de ciberdelincuentes que opera con un modelo RaaS, reclutando afiliados para propagar el ransomware mientras permanecen ocultos y mantienen el anonimato.