Nuevas variantes de LockBit 3.0 - Dispossessor, DarkVault y SEXi Ransomware
El grupo de ransomware LockBit, el cual es conocido por ser el grupo con más ataques de ransomware año tras año, ha demostrado una notable capacidad de adaptación tras un golpe inicial por parte del FBI compañía. A pesar del desmantelamiento de su infraestructura principal, el grupo ha reaparecido con nuevas variantes y métodos de ataque más sofisticados, lo que representa una amenaza continua para individuos y organizaciones [1]. Junto al resurgimiento de LockBit, han surgido nuevos actores en el panorama del ransomware que presentan características similares y representan un riesgo adicional:
- SEXi Ransomware: Centra sus ataques exclusivamente hacia servidores ESXi de VMware, existe una campaña de este grupo de ransomware dirigido a empresas de Latinoamérica [2]. Realiza explotación de vulnerabilidades de VMware y ataques de fuerza bruta, cifrando datos en servidores ESXi, lo que puede provocar la inoperabilidad de sistemas críticos.
- Dispossessor Ransomware: Un sitio web con un gran parecido al sitio original de LockBit, que ofrece servicios similares de cifrado de datos y exfiltración de información a cambio de un rescate. Se presume que este sitio podría ser un refugio para las operaciones de LockBit o un nuevo proyecto del mismo grupo. El día 19 de abril de 2024, Dispossessor publicó información sobre cientos de víctimas que ha tenido desde 2020, las cuales coinciden en las fechas con los ataques de LockBit. Aunque siguen apareciendo víctimas en el sitio oficial de LockBit, se puede inferir que Dispossessor es la variante que el grupo utilizará para continuar con sus operaciones.
- DarkVault Ransomware: Un grupo de ransomware que se enfoca en objetivos de alto valor, como empresas e instituciones gubernamentales mediante ataques dirigidos, incluyendo spear phishing y malware personalizado logrando encriptar datos, robar información confidencial y lograr la disrupción de operaciones críticas. DarkVault utiliza tácticas similares a las de LockBit, al igual que Dispossessor, tiene un sitio web que resulta una copia del sitio de LockBit.
Todas estas variantes siguen un modelo de Ransomware-as-a-Service (RaaS) el cual permite que cibercriminales con poca experiencia técnica compren acceso a herramientas y servicios de ransomware, lo que facilita la realización de ataques y amplía el alcance de esta amenaza. También, realizan amenazas de doble extorción, gracias no solo al cifrado de datos, sino también al robo de información confidencial antes del cifrado. Los actores amenazan con publicar o vender esta información si no se paga el rescate, lo que aumenta la presión sobre las víctimas.
Estos grupos de ransomware se mantienen actualizados con las últimas vulnerabilidades de software y las utilizan para infiltrarse en las redes de las víctimas. Las organizaciones necesitan implementar parches de seguridad de manera proactiva y realizar pruebas de penetración regularmente para identificar y mitigar vulnerabilidades.
Recomendaciones
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactor.
Indicadores de compromiso SEXi Ransomware
| Tipo | Indicador de compromiso |
| FileHash-SHA256 | 29109792e5009e14ce1d03830dae10073d531b5fb10a4d1488ed173d76f93ef2 |
| FileHash-SHA256 | 1b3afe446d6f9b46ac476a318116c534483b7f23465b6e7d19e9bdf2c01fd479 |
| FileHash-SHA256 | f3f16f6bd395ab1cc3d6ca09ca88b4de8e383e36c075d12883955764f3c8b2e2 |
| FileHash-SHA256 | 5d613aad17d62df2e8e8fd560330c4b1737e2df54d7cef03c3ee8212826dd8d3 |
| FileHash-SHA256 | a779da7552abe672ea1dbecb43eaca9d9bd700b21a7cef78a797a9c23d613cad |
| FileHash-SHA256 | 6882cc1d1503cbaaed4213268194c64330536a320cb11e334052b7f69031278c |
| FileHash-SHA256 | 00492655f5df05ef453c648b4570425493cb8f4df21838156cb1e5c0446d0c9e |
| FileHash-SHA256 | 03268f2c5729207c98f5cabc9a04e15f8d4a331a9760caa4c8e2c39842da7da6 |
| FileHash-SHA256 | b5cd3e2433c3856a1bc40dca7c8b93e5b9e9d7235e2a69ebe31384d16278cd75 |
| FileHash-SHA256 | d488b48f4f2e2d77d6fc9a4d592b2dc23f14effe8c3396ad19f0fc342f7858aa |
| FileHash-SHA256 | 581bc5287b992efdfafaccdf8ad117adec9e8ed84c1ac2f24cdb1c5a9ea51f8a |
| FileHash-SHA256 | 975a1d1c009fdc65fb84c1c5e26a516e2136f18398d8e0d6dabd111fe532c14b |
| FileHash-SHA256 | 480101403f5a65cba633c4b4d4ebe87fe2711d9f3b4ee308b1092f8d1d915c28 |
| FileHash-SHA256 | db3a6641139dea778c874bc7fb7260253aadd77bdf8108b4374f3cab0a6c0a4f |
| FileHash-SHA256 | f962d54db257c9865f9f4d04ec0fd516072bee39b9dbcb85d4a2d0b14323e0b3 |
| FileHash-SHA256 | e4027f59556e4c29d77b396457b5a9af75a299a27b977c81dfce62e51d92c439 |
| FileHash-SHA256 | d406683776845a4ba505cb60bbb75caa18fe671a44e5c224fa93b26bf41155a8 |
| FileHash-SHA256 | 042906399e2db2fd4cda22960c82913dbfcdc2d03901080ae5f520e0bd33aa20 |
| FileHash-SHA256 | 6fdc85490c3c6f2e4dba83e325dc6fe4340cc0b74f7ae08749542887d3f90519 |
| FileHash-SHA256 | 6f7a890bab675402ee849ddec218e0ac380c5b9ff3dd3766acf6e5c2a8b9a379 |
| FileHash-SHA256 | 8791eea95361498cb3f80d52f0fd020123c2de1ea23e948423e763bc8cc1b21f |
| FileHash-SHA256 | 8b3249ef4d72660259a08831320a7c97ef5e8a7cc4707f1dd4f77aa0d93e2ab3 |
| FileHash-SHA256 | a5f32055751c9bf302d0e67d780c70d407d2dfc85c04a32ac7af94a607fae836 |
| FileHash-SHA256 | d6ab95044f4cfabb2ad3ea7c483a54230cbc09fa23db22e9071be03804a436b7 |
| FileHash-SHA256 | b5cf1306057fa6e248deba659011130771e918ca1a5cfd9cac247829a8b65171 |
| FileHash-SHA256 | 205234c43de90157dc56bc9401bba77d6eda23a5ac2dfbb0af7ebb6944c666f7 |
| FileHash-SHA256 | 68299d16b99e8e6afd08b6c07468145edafb811281c16419fb909460b0a2c424 |
| FileHash-SHA256 | bebf54a073df7625170cc220c2c746d1cba2150deb4f50c3b0c87ad77bb15762 |
| FileHash-SHA256 | 041e800eb422033eb692d6e9d215e06a54925de0dee698cfc1e2ce4c50dc1f20 |
| FileHash-SHA256 | 17242addf9dd2afc79721ce924a6215f3db61bc6eef27147090e83400b37a6d2 |
| FileHash-SHA256 | f66d6a5a40c2328c8770e5b7784dd7cff44c2262c7feb77dafa3cea670dd89ca |
| FileHash-SHA256 | 88718524514f63f2fdea84cf767d28bc96769e1dce20d202216277587022d2d1 |
| FileHash-SHA256 | d82484e575c3733e6ebfc27da773aa420bab17e312515ee6a1391530004696e5 |
| FileHash-SHA256 | 62b82416162b824ba9fea5fbe0fdefb04b883d7d23cc554ad0f5538c45c8d46d |
| FileHash-SHA256 | 845ae02e71bf21e750606cb16610cc05a0fc37cd3a56033b4d55ed19fbefd934 |
| FileHash-SHA256 | fe0343f5cf16fa0426f46feb0947342ef15e31a862493d53395da974c6db72a5 |
| FileHash-SHA256 | c273aa956a3e1e4c878cec72423c880114e7bcd990b7c7386266957d94a045e0 |
| FileHash-SHA256 | b3ab1e211a8c5ad30f79be15468e81467aed3286de6158b921a44ea8b36f8a47 |
| FileHash-SHA256 | 1793da80d42508bab0fc38cacd394256481a4b29b37172d0a70053ce2b492d4e |
| FileHash-SHA256 | 84259823c7f08997784b5a77154552b85c9af23a5539fc1aecfa6a38bb04c2d6 |
| FileHash-SHA256 | 7e5a225aaa4558a39a34f7694121fbbd0c94bf475b4b096c9d0c87d6f3ae1b44 |
| FileHash-SHA256 | 7621860308af46f003d809b84ef199bbe132e7b22b0f68985a306aef062e7761 |
| FileHash-SHA256 | dd9806165b3f20a806b5231f84add9b8e834895f22e0ed98066a656c6abcf5f4 |
| FileHash-SHA256 | bfdb4fa67a8ec26c83771746fedd4c37fc716818981d4386e817792b7e4f1c08 |
| FileHash-SHA256 | 904972023ef7817f59c1a78b2885fea56153cc2e60acc4ac47e509b0f8a82774 |
| FileHash-SHA256 | cfab95a84fc282e8cad6449486e7dfe497f3ab43f871d4c3ad70258dcc5f84b8 |
| FileHash-SHA256 | 647c735f430d5422a1affe36843603565157cf6f76617e5f101af55294f5102e |
| FileHash-SHA256 | 2dc26fb7393be5d0d9a99f7530e7b42556d900573cc3f3849fa27c5edf2b55c4 |
| FileHash-SHA256 | d6b6af8cfc2cc11bbf6554f13d7c3a7eadd8f148fcf126a3b1f15959bded9a12 |
| FileHash-SHA256 | 6571cae958eadd8d4eef09687c1ac0258563ff633bbddd3db5ebabb35a5b4abb |
| FileHash-SHA256 | d92be58cae837a56308c407360156209bd08f780a7335453a84f5955af3db331 |
| FileHash-SHA256 | bb2d5957e1b6fb0f1d91eb87b45aa365559a74a6e3cbe9d115dc2249f751b109 |
| FileHash-SHA256 | 50fc2209dd85dda785d5cc08954690b6b6cde9f4c1de0dcfe4819bf8f8267d96 |
| FileHash-SHA256 | 6ba06ceda8135edd4ae3f12136f7e4e02ed9a253e2533f994e1f73b2f66e4891 |
| FileHash-SHA256 | fc6eee93f28d29ceadb394fecab6de18eefebe50af3b79b786b80ca61894a3b2 |
| FileHash-SHA256 | 503f16e60ae382c73c47dc01e98be4b7d1b5ec5d59b45deda24f714c8e1dc039 |
| FileHash-SHA256 | 58ba94be5c2c7d740b6192fea1cc829756da955bb0f2fcf478ab8355bf33a31a |
| FileHash-SHA256 | 6371b930d541e441cb5a9234b327395e05501f3405fb45ef13d9c2dabb6aa40c |
| FileHash-SHA256 | 2e83048c7ed1193f09ae8d293b42c105662828f2ab56a2fa1f81379ee250fc46 |
| FileHash-SHA256 | 9b1d8a32c941f77c5ecb35a102180062898fe5d3f52afc906bec85e6b0c40a8c |
| FileHash-SHA256 | 435eb1c230cfe09453cfb002ff0d1b7ca2c0299194eb1a798a9594d7938fddeb |
| FileHash-SHA256 | da031536e373d9f4cf6e41b863de3ce5a8487e13065d0eb9f4d81499276d7008 |
| FileHash-SHA256 | bc381eb017ab84d17eb6f3ae994305ef1edd3898d5ec140b2dd5ba478c81e428 |
| FileHash-SHA256 | c44781297977b1b2cfcf36e41544b5dc5e1132f7c053a10bcc39ae2bed6a8453 |
| FileHash-MD5 | fd5cc630421b486248f93b6d85f8cbfd |
| FileHash-MD5 | 925e09fde518efaa60a898080d2d66f1 |
| FileHash-MD5 | bd1a0b3ce63c846550d0b362a04dff66 |
| FileHash-MD5 | 87e31101b3936a317c0c9880c9750801 |
| FileHash-MD5 | 53579964981633dae3a80b4d7339db4a |
| FileHash-MD5 | a208d43aeb8c4a32fee467375508f01a |
| FileHash-MD5 | 6d547940c1a6b3c1531db570b76e546e |
| FileHash-MD5 | c46d36e0a0ad67dfa01bd0f025f55b54 |
| FileHash-MD5 | 7edf35b18e7e1cfe43daa98bf8e612f3 |
| FileHash-MD5 | 551d0132ea1660b51b9ca102a2e1a429 |
| FileHash-MD5 | 1c988e13c4499984c2f149d7199f9077 |
| FileHash-MD5 | 45826ae51330e2db38c02dc412c0f596 |
| FileHash-MD5 | 7e5aa3a76de082eff57dd06724ae6dd1 |
| FileHash-MD5 | 450d4587e39707371b6b9660fdf73849 |
| FileHash-MD5 | 75ed9cfaa575724566ebc63c0b325aac |
| FileHash-MD5 | 00c1875af11ba9636fb6c97203a28f6f |
| FileHash-MD5 | 1fbf0c128accfab84fa0a58ed34dd85b |
| FileHash-MD5 | 533dad422ae1379497305551563a3adf |
| FileHash-MD5 | 1770021289af639a0064200c34b30f5d |
| FileHash-MD5 | c2d6a459a44c30424a6479975705b2d2 |
| FileHash-MD5 | 9959d9c3ae4a52e2c64e7276145057bf |
| FileHash-MD5 | c29302db5e9de4aecd16bfc8149f6944 |
| FileHash-MD5 | 43a7f7ada40fc1f483520acca8f5deaf |
| FileHash-MD5 | 7fbec8acc2ca97e5058576ebb70960c9 |
| FileHash-MD5 | 8bc2982ab428e677e09cf5ac2deabc4b |
| FileHash-MD5 | 695a283731f3fb73579115699ebc497d |
| FileHash-MD5 | a0644a7bcc0c8bcb78da2d5829283cda |
| FileHash-MD5 | 383c0223012b87f430f5e97ac2564bb4 |
| FileHash-MD5 | d4ec0f78dce76c70f175c3fa669de431 |
| FileHash-MD5 | 03af155ea7ba43f0f58cdbce16175868 |
| FileHash-MD5 | 8e79fc4562a719bdb7aafeaac80bdac5 |
| FileHash-MD5 | b2dec816550cc3a58500379c8fc15016 |
| FileHash-MD5 | 24edd9cf8a1baba409cf24a15324360f |
| FileHash-MD5 | d90cd509a124b7960c1546ca7813cc87 |
| FileHash-MD5 | 47607214fb14b5ed8e1ea875b9c820c4 |
| FileHash-MD5 | e413f877df9bcb339a7d6bf0662a6757 |
| FileHash-MD5 | f60a7f3415472ba8b9ebb0a39bcd7a02 |
| FileHash-MD5 | ecc96cf7380fb9daef3fcdc60b5ec839 |
| FileHash-MD5 | a1bc7b72db7b72aa7a6c08a8327b5b85 |
| FileHash-MD5 | 3ce6ef10578032cf18a961e6465d2ce2 |
| FileHash-MD5 | 6bda659b696a2ce2f9d1087a7101bca8 |
| FileHash-MD5 | 97e6eb301a8724f3e9405512ffa3c277 |
| FileHash-MD5 | f4745871b111873e523bbe0f7234e8a8 |
| FileHash-MD5 | 917b7124752ec4457592646e70938486 |
| FileHash-MD5 | 496a632f6a4903bb29606c6e83032c57 |
| FileHash-MD5 | 369656cc1a5fb409beb871d8e0bb56fa |
| FileHash-MD5 | 29e35eb015cefd331acc15c1b6876863 |
| FileHash-MD5 | 3f5a51ac31b1844480bab14213d3f552 |
| FileHash-MD5 | f0982ed8e81b51223bd223ff1b10e724 |
| FileHash-MD5 | 3742eaa53aba065cd771463b0e8aa0a1 |
| FileHash-MD5 | 99f882f847a62c2678154f9aed82463e |
| FileHash-MD5 | c699a90f1fe01787c0ce169b0ca13012 |
| FileHash-MD5 | b5e956ddb5b4c329b6682bcd37ceff62 |
| FileHash-MD5 | df03d7918aabc51aa68d4028339c8297 |
| FileHash-MD5 | fbd7afa98a15883ef7e323a567ad99b2 |
| FileHash-MD5 | 007d791a8a8a37876272df8b760f5a7e |
| FileHash-MD5 | 9a7f8d0e6098ebd93733bb3a91ae02e3 |
| FileHash-MD5 | 75d9687e5e37ceb12b93423e0a72b8bc |
| FileHash-MD5 | f485412038002eea5be45fa5ae68ab8e |
| FileHash-MD5 | 6f82c5d4be36f3fdf81bb3c04f43f90d |
| FileHash-MD5 | 471418c0eb300bc714ce54f07666c377 |
| FileHash-SHA1 | 09be16e809fac50d920a9fe67817e28677d58dfd |
| FileHash-SHA1 | 3ad38751feee320ff75d71170901ec3ec0f55943 |
| FileHash-SHA1 | c1dea54591b3e5b66a3e166136fe713d3d563974 |
| FileHash-SHA1 | 6fff3614088c8b662a7b887fdcc23c982ed2b18b |
| FileHash-SHA1 | bc360c70bb3e1baf5da43ba1946219704aa6fa76 |
| FileHash-SHA1 | 8003ac68da163acfb65ac0078be01ac64bab1d3b |
| FileHash-SHA1 | 30c1b53437f075187170017a915678c27a1a2183 |
| FileHash-SHA1 | 02ce40b33216029a40429cacfeaf6c436b5a9cb9 |
| FileHash-SHA1 | 27e34718aa81abc6a088fa25e24f34fd8eefabfa |
| FileHash-SHA1 | bc7043fe8e3ad3a39911c4ca149d4419406a2563 |
| FileHash-SHA1 | 061811d8158068b0b8e0d1ee4ecff3d1c361d8f0 |
| FileHash-SHA1 | f71b6b605d9ede31b447c6dcb5c4a619235063f4 |
| FileHash-SHA1 | c84a89eea6b785060114f659e1d94148e7f3a280 |
| FileHash-SHA1 | 3e27d3cda66dda91448cfe6256f6cc5a0ba0e653 |
| FileHash-SHA1 | d420da72aa13c515d2f9cddf695ee8f48b1950fe |
| FileHash-SHA1 | 063e4928f28c6f1b2e02aee3c79dc94b8b51707b |
| FileHash-SHA1 | 639b8a4cab38ccea2dc72abfe1cf84af477e28d7 |
| FileHash-SHA1 | 874a564afab8623cd1d480cf4989e4e2478867ad |
| Domain | additiondasal-dasdrequired[.]sexidude[.]com |
| Domain | easternfglo[.]sexidude[.]com |
| Domain | surestniggaraloveme[.]sexidude[.]com |
| Domain | sexi[.]faqserv[.]com |
| Domain | innocent-isayev[.]sexidude[.]com">ftp[.]innocent-isayev[.]sexidude[.]com |
| Domain | additional[.]sexidude[.]com |
| Domain | microsoftgetstarted[.]sexidude[.]com |
| Domain | ftp[.]additional[.]sexidude[.]com |
| Domain | innocent-isayev[.]sexidude[.]com |
| IP | 123[.]13[.]60[.]118 |
| IP | 123[.]13[.]58[.]15 |
| IP | 123[.]13[.]62[.]174 |
| URL | https://petiatedtion-min[.]sexidude[.]com/ |
| URL | https://arrator-hasfull[.]sexidude[.]com/ |
| URL | https://dynamicdasd-dasdhosting[.]sexidude[.]com/ |
| URL | https://chelualdfg[.]sexidude[.]com/ |
| URL | https://aljyykbnt[.]sexidude[.]com/ |
| URL | https://continuedasdsa-nbvncheckout[.]sexidude[.]com/ |
| URL | https://deeytdely[.]sexidude[.]com/ |
| URL | https://additiondasal-dasdrequired[.]sexidude[.]com/ |
| URL | https://additiondasal-dasdrequired[.]sexidude[.]com/ |
| URL | https://easternfglo[.]sexidude[.]com/ |
| URL | https://identifrghhg[.]sexidude[.]com/ |
| URL | https://optionswandqweq-continue[.]sexidude[.]com/ |
| URL | https://requiredwe-nformation[.]sexidude[.]com/ |
| URL | https://surestniggaraloveme[.]sexidude[.]com/ |
| URL | https://surestniggaraloveme[.]sexidude[.]com/James/New%20ATT/bill[.]charged[.]html |
| URL | https://optionsdas-continueda[.]sexidude[.]com/ |
| URL | https://seximage[.]xyz/dro/?1 |
| URL | https://playboybeautybr[.]com/tib/sexieatdotpiu |
Referencias
- Webz.IO. (2024, febrero 20). Lockbit Reborn? New Site Defies FBI Takedown. Webz.IO. Recuperado el 19 de abril de 2024 en: https://webz.io/dwp/lockbit-reborn-new-site-defies-fbi-takedown/
- CSIRT Alestra. (2024, abril 9). Ransomware SEXi. CSIRT Alestra. Recuperado el 19 de abril de 2024 en: https://csirt.axtel.com.mx/bulletin/post/182
- NIST CFS. (2024, febrero 26). NIST Releases Version 2.0 of Landmark Cybersecurity Framework. NIST. Recuperado el 3 de abril de 2024 en: https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework
.jpg)
