jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » lockbit2

lockbit2

Threat-actor 3 min lectura threat-actor
Fecha
25 May 2026
Actor
threat-actor
Tipo
Threat-actor
Pais
United States
Sector
-
Confianza
medium

Key Points

  • Criptografía automática: Aplica cifrado en masa a través de políticas de Active Directory, minimizando la intervención manual.
  • RaaS (Ransomware-as-a-Service): Permite a usuarios no técnicos acceder y ejecutar ransomware, incrementando su alcance.
  • Exploit de vulnerabilidades: Se enfoca en sistemas operativos y aplicaciones con fallos conocidos para brechas de acceso.
  • Sistemas operativos Windows: Aprovechando la amplia adopción de este sistema en entornos corporativos.
  • Redes corporativas: Enfocándose en empresas con políticas de acceso basadas en Active Directory.

lockbit2

lockbit2

Perfil del Actor

LockBit 2.0 es una variante de la plataforma RaaS (Ransomware-as-a-Service) desarrollada por el grupo de amenaza threat-actor. Este iteración, lanzada en medio de 2021, introdujo características innovadoras como la criptografía automática a nivel de dominio mediante políticas de Active Directory Group Policy. Según datos publicados, se posicionó como la familia de ransomware con la mayor velocidad de cifrado, representando un 46% de los incidentes de brecha de ransomware en el primer trimestre de 2022.

Origen y Motivación

El grupo se ha asociado con actividades de ciberamenaza enfocadas en la extorsión mediante cifrado de datos. Su motivación apunta a obtener beneficios económicos a través de ransomware, aprovechando vulnerabilidades en redes corporativas y sistemas operativos. La plataforma RaaS permite a actores no técnicos acceder a herramientas de ataque, ampliando su capacidad operativa.

Técnicas y Tacticas (TTPs)

LockBit 2.0 utiliza técnicas como:

  • Criptografía automática: Aplica cifrado en masa a través de políticas de Active Directory, minimizando la intervención manual.
  • RaaS (Ransomware-as-a-Service): Permite a usuarios no técnicos acceder y ejecutar ransomware, incrementando su alcance.
  • Exploit de vulnerabilidades: Se enfoca en sistemas operativos y aplicaciones con fallos conocidos para brechas de acceso.

Campanas Conocidas

Se reportan actividades asociadas a más de 1006 víctimas, indicando una amplia gama de objetivos. Las operaciones incluyen la encriptación masiva de datos en organizaciones y servicios críticos, con un enfoque en sistemas corporativos.

Objetivos y Victimas

El grupo prioriza victimas con infraestructuras tecnológicas vulnerables. Los objetivos incluyen:

  • Sistemas operativos Windows: Aprovechando la amplia adopción de este sistema en entornos corporativos.
  • Redes corporativas: Enfocándose en empresas con políticas de acceso basadas en Active Directory.
  • Bienes raíces digitales: Secuestrando datos críticos para exigir pagos en criptomonedas.

Indicadores de Compromiso (IOCs)

Tipo Valor Contexto
Dominio DLS lockbitaptq7ephv2oigdncfhtwhpqgwmqojnxqdyhprxxfpcllqdxad.onion Operaciones de ciberamenaza en redes oscuras.
Dominio DLS lockbitaptstzf3er2lz6ku3xuifafq2yh5lmiqj5ncur6rtlmkteiqd.onion Distribución de ransomware en entornos anónimos.
Dominio DLS oyarbnujct53bizjguvo Acceso a plataformas RaaS y recursos de ciberamenaza.

Detección y Defensa

Para mitigar amenazas de LockBit 2.0, las organizaciones deben:

  • Monitorear dominios sospechosos: Verificar la existencia de dominios DLS en redes internas.
  • Implementar políticas de acceso restringido: Limitar el uso de Active Directory para evitar exploits automatizados.
  • Usar soluciones de inteligencia de amenazas: Analizar patrones de cifrado y comportamiento anormal en sistemas críticos.
← Volver al panel de inteligencia

Incidentes recientes

Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox www.progress-security.com12 Jun 2026 · krybit aisem.gob.bo12 Jun 2026 · krybit University of Nottingham11 Jun 2026 · breach