lockbit3_fs
LockBit 3.0 ("LockBit Black") es el tercer iteración del plataforma RaaS (Ransom-as-a-Service) LockBit, activa desde junio de 2022. Este actor de amenaza combina código de BlackMatter con payloads encriptados modulares diseñados para evitar la detección y enfocarse en entornos Windows y VMware ESXi a nivel global.
Perfil del Actor
LockBit 3.0 opera como un servicio de ransomware para usuarios anónimos, permitiendo a los atacantes monetizar sus actividades mediante la venta de códigos de ransomware en plataformas negras. Su modelo RaaS permite una escalabilidad rápida y una evasión eficiente de controles de seguridad.
El actor se distingue por su uso de payloads modulares, que se adaptan dinámicamente a las defensas del sistema objetivo, lo que dificulta su análisis forense tradicional.
Origen y Motivación
Aunque no hay datos claros sobre su origen geográfico, el actor parece operar con una estructura descentralizada. Su motivación principal es la ganancia financiera mediante la extorsión de organizaciones, especialmente en sectores críticos como salud, energía y tecnología.
La integración del código de BlackMatter sugiere que LockBit 3.0 se inspira en tácticas y herramientas de ransomware existentes, pero con modificaciones para aumentar su efectividad y evadir las defensas modernas.
Técnicas y Tacticas (TTPs)
El actor utiliza un enfoque basado en RaaS, donde los atacantes se registran en plataformas de ransomware para recibir códigos y ejecutar ataques. Su metodología incluye:
- Payloads modulares: Códigos que se adaptan a las características del sistema objetivo, dificultando su detección por antivirus tradicionales.
- Tarjetas de acceso: Uso de vulnerabilidades en sistemas Windows y VMware ESXi para obtener permisos de administrador.
- Evasión de análisis: Encriptación dinámica y técnicas de obfuscation para evitar la detección por inteligencia artificial o herramientas forenses.
Campanas Conocidas
El actor ha sido asociado con múltiples incidentes en sectores globales, incluyendo ataques contra empresas de tecnología, servicios críticos y organizaciones gubernamentales. Aunque no se especifican nombres de campañas, los ataques suelen involucrar la extorsión de datos y el secuestro de sistemas.
Los registros muestran que LockBit 3.0 ha operado con una red de atacantes anónimos, lo que dificulta la rastreabilidad de actividades específicas.
Objetivos y Victimas
LockBit 3.0 prioriza sectores críticos, como salud, energía y tecnología, con un enfoque global. Sus víctimas incluyen:
- Sistemas Windows: Ataques a servidores y dispositivos con vulnerabilidades conocidas.
- VMware ESXi: Enfocarse en entornos virtualizados, aprovechando la complejidad de sus configuraciones.
- Organizaciones sin fines de lucro: Para maximizar el impacto y la extorsión financiera.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| File | lockbit7z2jwcskxpbokpemdxmltipntwlkmidcll2qirbu7ykg46eyd.onion | Asociado con LockBit 3.0 RaaS platform. |
| File | lockbit7z2mmiz3ryxafn5kapbvbbiywsxwovasfkgf5dqqp5kxlajad.onion | Asociado con LockBit 3.0 RaaS platform. |
| File | lockbit7z2og4jlsmdy7dzty3g42eu3gh2sx2b6ywtvhrj | Asociado con LockBit 3.0 RaaS platform. |
Detección y Defensa
Para mitigar el impacto de LockBit 3.0, las organizaciones deben:
- Monitorear entornos encriptados: Buscar archivos .onion o dominios anómalos asociados a plataformas RaaS.
- Aumentar la vigilancia de sistemas Windows y VMware: Revisar logs de acceso y actividad no autorizada en entornos virtualizados.
- Implementar soluciones de detección avanzada: Usar algoritmos de análisis comportamental para identificar payloads modulares.
- Patchear vulnerabilidades críticas: Asegurar que sistemas Windows y VMware estén actualizados con las últimas correcciones de seguridad.