1. Alertas de Seguridad
  2. Actividad de Ransomware Lockbit 3.0

Actividad de Ransomware Lockbit 3.0

Fecha de publicación: Mié, 16/04/2025 - 16:25

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

Se ha identificado actividad de Ransomware Lockbit 3.0, esta variante se caracteriza por su sofisticación y capacidad mejorada para evadir medidas de detección y seguridad, introduciendo métodos de cifrado más robustos, tácticas de exfiltración de datos, herramientas de escaneo de red y software de administración remota.

Recursos objetivo

Lockbit 3.0 en base a su modelo de negocio de "doble extorsión" busca secuestrar el acceso a información importante de la víctima, como bases de datos y archivos.

Técnicas, Tácticas y Procedimientos de Lockbit 3.0

1. Acceso Inicial

  • Phishing dirigido (correos electrónicos con archivos adjuntos o enlaces maliciosos para engañar a los usuarios y obtener acceso).
  • Explotación de aplicaciones expuestas (vulnerabilidades en servicios como RDP, VPNs y Citrix para infiltrarse en la red).
  • Uso de cuentas válidas (credenciales comprometidas, a menudo adquiridas foros ilegales para acceder a sistemas).​

2. Ejecución

  • Scripts y comandos (PowerShell, scripts por lotes y otras herramientas de línea de comandos para ejecutar cargas maliciosas).
  • Programación de tareas (crea tareas programadas para ejecutar el ransomware en momentos específicos).​

3. Persistencia

  • Claves de registro (modifica claves del registro para asegurar la ejecución del malware al iniciar el sistema).
  • Tareas programadas (establece tareas que permiten la persistencia del malware en el sistema).​

4. Escalada de Privilegios

  • Herramientas como Mimikatz (extrae credenciales para obtener mayores privilegios en el sistema).
  • Modificación de políticas de grupo (altera políticas para facilitar la propagación y ejecución del ransomware).​

5. Evasión de Defensas

  • Desactivación de software de seguridad (Process Hacker para deshabilitar antivirus y EDR).
  • Eliminación de registros (Borra registros de eventos para ocultar actividades maliciosas).
  • Autoeliminación: El malware puede eliminarse a sí mismo tras completar su tarea, dificultando el análisis forense.​

6. Acceso a Credenciales.

  • Extracción de credenciales (Utiliza herramientas para obtener nombres de usuario y contraseñas almacenadas en el sistema).​

7. Descubrimiento.

  • Escaneo de red (Identifica otros sistemas en la red para expandir su alcance).
  • Recolección de información del sistema (Obtiene detalles sobre el sistema operativo y configuraciones).​

8. Movimiento Lateral.

  • Herramientas como PsExec (Ejecuta comandos en sistemas remotos para propagarse).
  • Modificación de políticas de grupo (distribuye el ransomware a través de políticas de grupo comprometidas).​

9. Exfiltración.

  • Herramientas como Rclone y StealBit (transfiere datos robados a servicios de almacenamiento en la nube).
  • Uso de servicios web (exfiltra datos a través de servicios de compartición de archivos).​

10. Impacto.

  • Cifrado de datos (utiliza algoritmos AES y RSA para cifrar archivos, haciéndolos inaccesibles sin la clave de descifrado).
  • Desactivación de copias de seguridad (elimina copias de seguridad y puntos de restauración para impedir la recuperación).
  • Rescate (cambia el fondo de pantalla y muestra notas de rescate).

Recomendaciones

Reforzar las siguientes medidas de seguridad:

  • Realizar copias de seguridad y pruebas de restauración de la información crítica, incluyendo configuraciones, código fuente, aplicaciones y otros, que permitan una rápida reconstrucción.
  • Verificar y publicar servicios y protocolos estrictamente necesarios a internet.
  • Limitar el uso de servicios de escritorio remoto, si su uso es necesario, implementar autenticación multifactor y bloqueo ante intentos de inicio de sesión fallidos.
  • Verificar la instalación de actualizaciones de seguridad en software de aplicación y sistemas operativos.
  • Deshabilitar protocolos y servicios para compartir archivos, directorios y recursos en la red interna.
  • Cambiar las credenciales de administrador y nombres de usuario predeterminados con prioridad en sistemas y servicios críticos.
  • Usar contraseñas robustas y únicas.
  • Capacitar y concientizar al personal de la institución en la identificación y respuesta a ataques de phishing y malware.
  • Implementar políticas de acceso de mínimo privilegio
  • Segmentar la red, separar en unidades organizacionales, servicios, recursos y entre redes  de Tecnología de la Información (TI) y redes de Tecnología Operativa (OT).