{"version":"1.0","type":"rich","provider_name":"Acast","provider_url":"https://acast.com","height":250,"width":700,"html":"<iframe src=\"https://embed.acast.com/$/6775c7c6c82b0a6413df24e3/682022ad182b2144afe568c0?\" frameBorder=\"0\" width=\"700\" height=\"250\"></iframe>","title":"IPGR Investigación 4 - Ransomware LockBit","thumbnail_width":200,"thumbnail_height":200,"thumbnail_url":"https://open-images.acast.com/shows/6775c7c6c82b0a6413df24e3/1746936220415-b0fc3b6b-d439-45f5-b3e1-aabb0641e703.jpeg?height=200","description":"<p>Investigación Profunda de Grupos de Ransomware</p><p>Investigación 4 - Ransomware LockBit</p><p><br></p><p>1. Identificación y Origen</p><p>LockBit es un Ransomware-as-a-Service (RaaS) detectado en septiembre de 2019, originado en Rusia. Hasta la fecha ha atacado a más de 2 500 organizaciones en 120 países (1 800 en EE. UU.). Su rasgo inicial fue un cifrado rápido con extensión “.abcd”, evolucionando en 2021 hacia esquemas de doble y luego triple extorsión, gestionados mediante un portal de negociaciones.</p><p><br></p><p>2. Evolución de Versiones</p><p>1.0 (2019–2020): AES clásico, vectores básicos (phishing, RDP), sin exfiltración ni ofuscación.</p><p>2.0 (2021–2022): Añade doble extorsión (StealBit), cifrado AES-256 + ECC, variante Linux/ESXi, propagación via SMB y GPO.</p><p>3.0 “Black” (2022–2023): Triple extorsión (incluye DDoS), exfiltración con rclone/Mega, bug bounty, variante Green (código Conti) y prueba macOS.</p><p>4.0 y SuperBlack (2024–2025): Bajo “LockBitNGDev” se investiga SuperBlack, con exfiltración mejorada y sin branding.</p><p><br></p><p>3. TTPs (MITRE ATT&amp;CK)</p><p>Cobertura completa del ciclo de ataque: phishing, exploits y RDP para acceso; PowerShell y PsExec en ejecución; persistencia con tareas y claves de registro; escalada de privilegios (UAC, GPO); evasión (deshabilitar EDR/AV, limpieza de logs); movimiento lateral via SMB/Cobalt Strike; exfiltración (StealBit, rclone, túneles); impacto mediante cifrado AES/ECC y destrucción de sombras.</p><p><br></p><p>4. Infraestructura y Herramientas</p><p>Afiliados usan un panel Tor y builder personalizado. Combinan utilidades legítimas (7-Zip, AnyDesk) con herramientas maliciosas (StealBit, Mimikatz, AdFind).</p><p><br></p><p>5. Economía del Ataque</p><p>Rescate dividido 70–80 % al afiliado y resto al operador central. Demandas oscilan de 1 000 USD a 80 M USD, con rescate medio ~1 M USD. Desde 2022 aceptan Bitcoin, Monero y Zcash.</p><p><br></p><p>6. Víctimas y Sectores</p><p>Afecta finanzas, salud, energía, gobierno, educación, manufactura y transporte, con especial incidencia en EE. UU., Canadá, Australia y Nueva Zelanda (≈ 1 700 ataques y 91 M USD pagados en EE. UU. desde enero 2020).</p><p><br></p><p>7. Contramedidas</p><p>Implantar MFA, segmentación de red y endurecimiento de sistemas; allow-listing (AppLocker, WDAC); protección de credenciales (Credential Guard, LAPS); monitoreo continuo (EDR/NDR, registros centralizados) y estrategia de respaldo 3-2-1.</p><p><br></p><p>8. Incidente (7 mayo 2025)</p><p>Se filtraron 60 000 direcciones BTC y 4 442 mensajes de negociación de un panel secundario, sin exponer claves privadas, proporcionando información clave para contrarrestar la red LockBit.</p><p><br></p><p>Noticia</p><p>https://securityaffairs.com/177619/cyber-crime/the-lockbit-ransomware-site-was-breached-database-dump-was-leaked-online.html#:~:text=Hackers%20compromised%20the%20dark%20web,of%20its%20backend%20affiliate%20panel&nbsp;</p><p><br></p><p>Investigación</p><p>https://www.incibe.es/incibe-cert/blog/lockbit-acciones-de-respuesta-y-recuperacion&nbsp;</p><p>https://www.trendmicro.com/en_us/research/24/b/lockbit-attempts-to-stay-afloat-with-a-new-version.html?utm_source=trendmicroresearch&amp;utm_medium=smk&amp;utm_campaign=0224_LockBitDisruptions</p><p>https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a</p>","author_name":"Jose Rojas"}