Sign up to save your podcasts
Or
Share IPGR Investigación 4 - Ransomware LockBit
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
IPGR Investigación 4 - Ransomware LockBit
Investigación Profunda de Grupos de Ransomware
Investigación 4 - Ransomware LockBit
1. Identificación y Origen
LockBit es un Ransomware-as-a-Service (RaaS) detectado en septiembre de 2019, originado en Rusia. Hasta la fecha ha atacado a más de 2 500 organizaciones en 120 países (1 800 en EE. UU.). Su rasgo inicial fue un cifrado rápido con extensión “.abcd”, evolucionando en 2021 hacia esquemas de doble y luego triple extorsión, gestionados mediante un portal de negociaciones.
2. Evolución de Versiones
1.0 (2019–2020): AES clásico, vectores básicos (phishing, RDP), sin exfiltración ni ofuscación.
2.0 (2021–2022): Añade doble extorsión (StealBit), cifrado AES-256 + ECC, variante Linux/ESXi, propagación via SMB y GPO.
3.0 “Black” (2022–2023): Triple extorsión (incluye DDoS), exfiltración con rclone/Mega, bug bounty, variante Green (código Conti) y prueba macOS.
4.0 y SuperBlack (2024–2025): Bajo “LockBitNGDev” se investiga SuperBlack, con exfiltración mejorada y sin branding.
3. TTPs (MITRE ATT&CK)
Cobertura completa del ciclo de ataque: phishing, exploits y RDP para acceso; PowerShell y PsExec en ejecución; persistencia con tareas y claves de registro; escalada de privilegios (UAC, GPO); evasión (deshabilitar EDR/AV, limpieza de logs); movimiento lateral via SMB/Cobalt Strike; exfiltración (StealBit, rclone, túneles); impacto mediante cifrado AES/ECC y destrucción de sombras.
4. Infraestructura y Herramientas
Afiliados usan un panel Tor y builder personalizado. Combinan utilidades legítimas (7-Zip, AnyDesk) con herramientas maliciosas (StealBit, Mimikatz, AdFind).
5. Economía del Ataque
Rescate dividido 70–80 % al afiliado y resto al operador central. Demandas oscilan de 1 000 USD a 80 M USD, con rescate medio ~1 M USD. Desde 2022 aceptan Bitcoin, Monero y Zcash.
6. Víctimas y Sectores
Afecta finanzas, salud, energía, gobierno, educación, manufactura y transporte, con especial incidencia en EE. UU., Canadá, Australia y Nueva Zelanda (≈ 1 700 ataques y 91 M USD pagados en EE. UU. desde enero 2020).
7. Contramedidas
Implantar MFA, segmentación de red y endurecimiento de sistemas; allow-listing (AppLocker, WDAC); protección de credenciales (Credential Guard, LAPS); monitoreo continuo (EDR/NDR, registros centralizados) y estrategia de respaldo 3-2-1.
8. Incidente (7 mayo 2025)
Se filtraron 60 000 direcciones BTC y 4 442 mensajes de negociación de un panel secundario, sin exponer claves privadas, proporcionando información clave para contrarrestar la red LockBit.
Noticia
https://securityaffairs.com/177619/cyber-crime/the-lockbit-ransomware-site-was-breached-database-dump-was-leaked-online.html#:~:text=Hackers%20compromised%20the%20dark%20web,of%20its%20backend%20affiliate%20panel
Investigación
https://www.incibe.es/incibe-cert/blog/lockbit-acciones-de-respuesta-y-recuperacion
https://www.trendmicro.com/en_us/research/24/b/lockbit-attempts-to-stay-afloat-with-a-new-version.html?utm_source=trendmicroresearch&utm_medium=smk&utm_campaign=0224_LockBitDisruptions
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a
Redes Sociales
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo
https://buymeacoffee.com/btsmi
Hosted on Acast. See acast.com/privacy for more information.
View all episodes
By Jose RojasInvestigación Profunda de Grupos de Ransomware
Investigación 4 - Ransomware LockBit
1. Identificación y Origen
LockBit es un Ransomware-as-a-Service (RaaS) detectado en septiembre de 2019, originado en Rusia. Hasta la fecha ha atacado a más de 2 500 organizaciones en 120 países (1 800 en EE. UU.). Su rasgo inicial fue un cifrado rápido con extensión “.abcd”, evolucionando en 2021 hacia esquemas de doble y luego triple extorsión, gestionados mediante un portal de negociaciones.
2. Evolución de Versiones
1.0 (2019–2020): AES clásico, vectores básicos (phishing, RDP), sin exfiltración ni ofuscación.
2.0 (2021–2022): Añade doble extorsión (StealBit), cifrado AES-256 + ECC, variante Linux/ESXi, propagación via SMB y GPO.
3.0 “Black” (2022–2023): Triple extorsión (incluye DDoS), exfiltración con rclone/Mega, bug bounty, variante Green (código Conti) y prueba macOS.
4.0 y SuperBlack (2024–2025): Bajo “LockBitNGDev” se investiga SuperBlack, con exfiltración mejorada y sin branding.
3. TTPs (MITRE ATT&CK)
Cobertura completa del ciclo de ataque: phishing, exploits y RDP para acceso; PowerShell y PsExec en ejecución; persistencia con tareas y claves de registro; escalada de privilegios (UAC, GPO); evasión (deshabilitar EDR/AV, limpieza de logs); movimiento lateral via SMB/Cobalt Strike; exfiltración (StealBit, rclone, túneles); impacto mediante cifrado AES/ECC y destrucción de sombras.
4. Infraestructura y Herramientas
Afiliados usan un panel Tor y builder personalizado. Combinan utilidades legítimas (7-Zip, AnyDesk) con herramientas maliciosas (StealBit, Mimikatz, AdFind).
5. Economía del Ataque
Rescate dividido 70–80 % al afiliado y resto al operador central. Demandas oscilan de 1 000 USD a 80 M USD, con rescate medio ~1 M USD. Desde 2022 aceptan Bitcoin, Monero y Zcash.
6. Víctimas y Sectores
Afecta finanzas, salud, energía, gobierno, educación, manufactura y transporte, con especial incidencia en EE. UU., Canadá, Australia y Nueva Zelanda (≈ 1 700 ataques y 91 M USD pagados en EE. UU. desde enero 2020).
7. Contramedidas
Implantar MFA, segmentación de red y endurecimiento de sistemas; allow-listing (AppLocker, WDAC); protección de credenciales (Credential Guard, LAPS); monitoreo continuo (EDR/NDR, registros centralizados) y estrategia de respaldo 3-2-1.
8. Incidente (7 mayo 2025)
Se filtraron 60 000 direcciones BTC y 4 442 mensajes de negociación de un panel secundario, sin exponer claves privadas, proporcionando información clave para contrarrestar la red LockBit.
Noticia
https://securityaffairs.com/177619/cyber-crime/the-lockbit-ransomware-site-was-breached-database-dump-was-leaked-online.html#:~:text=Hackers%20compromised%20the%20dark%20web,of%20its%20backend%20affiliate%20panel
Investigación
https://www.incibe.es/incibe-cert/blog/lockbit-acciones-de-respuesta-y-recuperacion
https://www.trendmicro.com/en_us/research/24/b/lockbit-attempts-to-stay-afloat-with-a-new-version.html?utm_source=trendmicroresearch&utm_medium=smk&utm_campaign=0224_LockBitDisruptions
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a
Redes Sociales
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo
https://buymeacoffee.com/btsmi
Hosted on Acast. See acast.com/privacy for more information.