LockBit Gang 3.0

Continúa el legado de LockBit y LockBit 2.0. Desde enero de 2020.

LockBit3.0 es un grupo de ransomware conocido por sus variantes de ransomware técnicamente complejas e impactantes.
Anteriormente conocido como grupo ABCD, utiliza el modelo Ransomware-as-a-Service y programas de recompensas por errores para distribuir y mejorar el ransomware.
15 de junio de 2023: LockBit fue identificado como el grupo global de ransomware y proveedor de RaaS más activo según la cantidad de víctimas en su sitio de fuga de datos.
LockBit afirma ser el ransomware de cifrado más rápido del mercado RaaS y es utilizado por muchos actores de amenazas afiliados. LockBit utiliza el método de doble extorsión para presionar a sus víctimas a pagar el rescate.

Modelo de negocio

• Ransomware como servicio (RaaS
• Doble Extorsión
• Corredores de acceso inicial (IAB)
• Cooperación con otros grupos (p. ej., Maze)
• Información privilegiada de la empresa
• Recompensa por errores criminales

Tácticas de Extorsión

• Cifrado de archivos
• Fuga de datos

Métodos de acceso inicial

• Explotar aplicaciones públicas
• Suplantación de identidad

Métodos de Impacto

• Cifrado de datos
• Exfiltración de datos

En 23 de junio de 2023, LockBit desarrollaba ransomware capaz de apuntar a una gama más amplia de sistemas: Intenta expandir su alcance a diferentes arquitecturas: Apple, Linux, FreeBSD.
Planea ampliar la capacidad de infección del malware. LockBit 3.0 se había dirigido anteriormente a servidores Windows, Linux y VMware ESXi, se han identificado supuestas nuevas versiones de cifradores LockBit que también pueden afectar a las CPU macOS, ARM, FreeBSD, MIPS y SPARC. Dado el ya considerable volumen de ataques del grupo, es probable que continúen aumentando la cantidad de dispositivos objetivo, lo que pronto podría resultar en un aumento significativo de los ataques LockBit.

Cepa ransomware MacOS/Linux de LockBit:

Aunque el grupo de ransomware afirma no involucrarse en política, muchos de sus objetivos parecen ser la OTAN y los países aliados. Según datos de SOCRadar, aproximadamente la mitad de los ataques con la variante LockBit 3.0 afectan a empresas estadounidenses.

LockBit 3.0 utiliza credenciales codificadas o cuentas locales comprometidas con privilegios elevados para propagarse a través de la red de la víctima. Utilizando el protocolo Server Message Block (SMB), también se puede propagar a través de objetos de política de grupo y PsExec.

Los afiliados de LockBit 3.0 utilizan diversos métodos para el acceso inicial, incluida la explotación de RDP, el lanzamiento de campañas de phishing y la explotación de vulnerabilidades en aplicaciones públicas. Los afiliados exfiltran archivos de datos confidenciales de la empresa antes de cifrarlos utilizando Stealbit, rclone, herramientas de exfiltración que LockBit usa comúnmente y servicios públicos de intercambio de archivos.

El grupo también emplea un enfoque de cifrado híbrido utilizando algoritmos de cifrado AES y RSA. LockBit ransomware elimina archivos de registro, archivos en la papelera de reciclaje y instantáneas de volumen después de cifrar los archivos de la víctima.


El 21 de Septiembre del 2022, salió un tweet el cual un usuario de Twitter llamado “Ali Qushji”, afirmo que su equipo hackeo los servidores de Lockbits y encontró un creador para el cifrador de ransomware LockBit 3.0.


Sin embargo el representante público de la operación LockBit, afirma que no fueron pirateados, sino que un desarrollador descontento filtró el creador privado de ransomware.

El constructor LockBit 3.0 filtrado permite crear rápidamente los ejecutables necesarios para iniciar su propia operación, incluidos un cifrador, un descifrador y herramientas para iniciar el descifrador de determinadas maneras. Al modificar el archivo de configuración, cualquiera puede personalizarlo según sus necesidades y modificar la nota de rescate.


Cuando se ejecuta el archivo por lotes, el constructor creará todos los archivos necesarios para lanzar una campaña de ransomware exitosa.


No es la primera vez que se filtra un creador de ransomware o un código fuente, lo que provocó un aumento de los ataques por parte de otros actores de amenazas que lanzaron sus propias operaciones.

• En junio de 2021, se filtró el creador de ransomware Babuk, que permite a cualquiera crear cifradores y descifradores para Windows y VMware ESXi, que otros actores de amenazas utilizaron en los ataques.
• En marzo de 2022, cuando la operación de ransomware Conti sufrió una violación de datos, su código fuente también se filtró en línea. Este código fuente fue utilizado rápidamente por el grupo de hackers NB65 para lanzar ataques de ransomware en Rusia.

Indicadores de compromiso 

SHA256

• f9b9d45339db9164a3861bf61758b7f41e6bcfb5bc93404e296e2918e52ccc10
• a56b41a6023f828cccaaef470874571d169fdb8f683a75edd430fbd31a2c3f6 e
• d61af007f6c792b8fb6c677143b7d0e2533394e28c50737588e40da475c040ee

SHA1

• ced1c9fabfe7e187dd809e77c9ca28ea2e165fa8
• 371353e9564c58ae4722a03205ac84ab34383d8c
• c2a321b6078acfab582a195c3eaf3fe05e095ce0

ONION domains

• lockbitapt2d73krlbewgv27tquljgxr33xbwwsp6rkyieto7u4ncead[.]onion
• lockbitapt2yfbt7lchxejug47kmqvqqxvvjpqkmevv4l3azl3gy6pyd[.]onion
• lockbitapt34kvrip6xojylohhxrwsvpzdffgs5z4pbbsywnzsbdguqd[.]onion
• lockbitapt5x4zkjbcqmz6frdhecqqgadevyiwqxukksspnlidyvd7qd[.]onion
• lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd[.]onion
• lockbitapt72iw55njgnqpymggskg5yp75ry7rirtdg4m7i42artsbqd[.]onion
• lockbitaptawjl6udhpd323uehekiyatj6ftcxmkwe5sezs4fqgpjpid[.]onion
• lockbitaptbdiajqtplcrigzgdjprwugkkut63nbvy2d5r4w2agyekqd[.]onion
• lockbitaptc2iq4atewz2ise62q63wfktyrl4qtwuk5qax262kgtzjqd[.]onion
• lockbit7z2jwcskxpbokpemdxmltipntwlkmidcll2qirbu7ykg46eyd[.]onion
• lockbitsupa7e3b4pkn4mgkgojrl5iqgx24clbzc4xm7i6jeetsia3qd[.]onion
• lockbitsupdwon76nzykzblcplixwts4n4zoecugz2bxabtapqvmzqqd[.]onion
• lockbitsupn2h6be2cnqpvncyhj4rgmnwn44633hnzzmtxdvjoqlp7yd[.]onion
• lockbitsupo7vv5vcl3jxpsdviopwvasljqcstym6efhh6oze7c6xjad[.]onion
• lockbitsupq3g62dni2f36snrdb4n5qzqvovbtkt5xffw3draxk6gwqd[.]onion
• lockbitsupqfyacidr6upt6nhhyipujvaablubuevxj6xy3frthvr3yd[.]onion
• lockbitsupt7nr3fa6e7xyb73lk6bw6rcneqhoyblniiabj4uwvzapqd[.]onion
• lockbitsupuhswh4izvoucoxsbnotkmgq6durg7kficg6u33zfvq3oyd[.]onion
• lockbitsupxcjntihbmat4rrh7ktowips2qzywh6zer5r3xafhviyhqd[.]onion

Referencias 

• https://www.picussecurity.com/resource/lock-bit-ransomware-gang
• https://socradar.io/dark-web-profile-lockbit-3-0-ransomware/
• https://www.bleepingcomputer.com/news/security/lockbit-ransomware-builder-leaked-online-by-angry-developer/
• https://www.sentinelone.com/labs/lockbit-3-0-update-unpickingthe-ransomwares-latest-anti-analysis-and-evasion-techniques

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios