Investigación Profunda de Grupos de RansomwareInvestigación 4 - Ransomware LockBit1. Identificación y OrigenLockBit es un Ransomware-as-a-Service (RaaS) detectado en septiembre de 2019, originado en Rusia. Hasta la fecha ha atacado a más de 2 500 organizaciones en 120 países (1 800 en EE. UU.). Su rasgo inicial fue un cifrado rápido con extensión “.abcd”, evolucionando en 2021 hacia esquemas de doble y luego triple extorsión, gestionados mediante un portal de negociaciones.2. Evolución de Versiones1.0 (2019–2020): AES clásico, vectores básicos (phishing, RDP), sin exfiltración ni ofuscación.2.0 (2021–2022): Añade doble extorsión (StealBit), cifrado AES-256 + ECC, variante Linux/ESXi, propagación via SMB y GPO.3.0 “Black” (2022–2023): Triple extorsión (incluye DDoS), exfiltración con rclone/Mega, bug bounty, variante Green (código Conti) y prueba macOS.4.0 y SuperBlack (2024–2025): Bajo “LockBitNGDev” se investiga SuperBlack, con exfiltración mejorada y sin branding.3. TTPs (MITRE ATT&CK)Cobertura completa del ciclo de ataque: phishing, exploits y RDP para acceso; PowerShell y PsExec en ejecución; persistencia con tareas y claves de registro; escalada de privilegios (UAC, GPO); evasión (deshabilitar EDR/AV, limpieza de logs); movimiento lateral via SMB/Cobalt Strike; exfiltración (StealBit, rclone, túneles); impacto mediante cifrado AES/ECC y destrucción de sombras.4. Infraestructura y HerramientasAfiliados usan un panel Tor y builder personalizado. Combinan utilidades legítimas (7-Zip, AnyDesk) con herramientas maliciosas (StealBit, Mimikatz, AdFind).5. Economía del AtaqueRescate dividido 70–80 % al afiliado y resto al operador central. Demandas oscilan de 1 000 USD a 80 M USD, con rescate medio ~1 M USD. Desde 2022 aceptan Bitcoin, Monero y Zcash.6. Víctimas y SectoresAfecta finanzas, salud, energía, gobierno, educación, manufactura y transporte, con especial incidencia en EE. UU., Canadá, Australia y Nueva Zelanda (≈ 1 700 ataques y 91 M USD pagados en EE. UU. desde enero 2020).7. ContramedidasImplantar MFA, segmentación de red y endurecimiento de sistemas; allow-listing (AppLocker, WDAC); protección de credenciales (Credential Guard, LAPS); monitoreo continuo (EDR/NDR, registros centralizados) y estrategia de respaldo 3-2-1.8. Incidente (7 mayo 2025)Se filtraron 60 000 direcciones BTC y 4 442 mensajes de negociación de un panel secundario, sin exponer claves privadas, proporcionando información clave para contrarrestar la red LockBit.Noticiahttps://securityaffairs.com/177619/cyber-crime/the-lockbit-ransomware-site-was-breached-database-dump-was-leaked-online.html#:~:text=Hackers%20compromised%20the%20dark%20web,of%20its%20backend%20affiliate%20panel Investigaciónhttps://www.incibe.es/incibe-cert/blog/lockbit-acciones-de-respuesta-y-recuperacion https://www.trendmicro.com/en_us/research/24/b/lockbit-attempts-to-stay-afloat-with-a-new-version.html?utm_source=trendmicroresearch&utm_medium=smk&utm_campaign=0224_LockBitDisruptionshttps://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165aRedes [email protected]://shows.acast.com/blueteam-sin-morir-en-el-intentohttps://linkedin.com/company/blue-team-smihttps://x.com/blueteam_smihttps://www.youtube.com/@BlueTeamSMIDonativohttps://buymeacoffee.com/btsmi Hosted on Acast. See acast.com/privacy for more information.

Ver todos los episodios