Lockbit 3.0

LockBit 3.0 es una evolución avanzada del ransomware como servicio (RaaS), detectada por primera vez en junio de 2022. Está diseñado para Windows y ESXi, y presenta mejoras significativas en evasión de defensas, exfiltración y arquitectura modular en comparación con versiones previas, como LockBit 2.0 y LockBit Black.

Técnicas Destacadas en MITRE ATT&CK

1. Elevación de privilegios

T1548.002 Bypass de UAC vía COM elevado: utiliza interfaces COM elevadas para sortear el Control de Cuentas de Usuario.
T1218.003 Ejecución de binario del sistema (CMSTP): realiza bypass de UAC con cmstp.exe cuando no tiene privilegios administrativos.

2. Persistencia y ejecución inicial

T1547.004 Autoarranque: DLL helper de Winlogon: modifica la clave HKLM\…\Winlogon para autoejecución.
T1543.003 Creación/modificación de servicio Windows: instala un servicio para mantener persistencia.

3. Descubrimiento, propagación y movimiento lateral

T1082 Descubrimiento de sistema y T1057 Descubrimiento de procesos: identifica host, servicio y procesos para preparar acciones posteriores.
T1135 Descubrimiento de recursos compartidos: detecta unidades de red para cifrar o expandir el ataque.
T1021.002 Servicios remotos (SMB) y T1078.003 Uso de cuentas locales: facilita el movimiento lateral usando SMB y credenciales comprometidas.

4. Evasión y obfuscación

T1120 Descubrimiento de dispositivos externos: detecta unidades USB o discos externos para cifrado.
T1027.002 Empaquetado y T1027.013 Cifrado/encodificación: ofusca y cifra componentes del malware.
T1140 Deobfuscación/decodificación: descifra su payload durante la ejecución.
T1622 Evasión de depuración: detecta debuggers y bloquea su actividad.
T1484.001 Modificación de políticas de grupo: ajusta configuraciones de GPO para favorecer el movimiento lateral.
T1480 Guardrails de ejecución: comprueba parámetros del sistema (frase clave única y configuración del idioma) para verificar que no se ejecute en ciertos entornos test o geográficos.

5. Defensa y eliminación de rastros

T1562.001 Inhibición de defensas: desactiva Windows Defender y antivirus.
T1562.009 Reinicio en Modo Seguro: reinicia el sistema en “Safe Mode” donde los escudos de seguridad están limitados.
T1070.001 Limpieza de logs del sistema: elimina registros de eventos mediante wevtutil.
T1489 Detención de servicios: finaliza servicios de seguridad, bases de datos, backups y otros que interfieran en el cifrado.

6. Comunicación y exfiltración

T1071.001 Protocolo HTTP: utiliza HTTP para enviar información del host al servidor de comando y control.
T1132.001 Codificación de datos Base64 y T1573.001 Cifrado simétrico (AES): las comunicaciones de C2 están cifradas y codificadas para evitar detección.

7. Impacto final

T1486 Cifrado de datos: utiliza algoritmos robustos como AES-256, ChaCha20 y RSA-2048 para cifrar archivos.
T1490 Inhibición de la recuperación: elimina snapshots del sistema (shadow copies) para prevenir restauración fácil.

Flujo de ataque resumido

Ingreso y elevación: ingreso del payload, UAC bypass vía COM o CMSTP.
Persistencia inicial: se establece un servicio o se modifica Winlogon.
Reconocimiento del entorno: identifica configuración regional, idioma, dispositivos y redes compartidas.
Preparación del terreno: desactiva defensas y logs; reinicia el sistema en safe mode si es necesario; termina servicios críticos.
Comunicación segura con C2: envía datos codificados a través de HTTP cifrado.
Cifrado masivo: utiliza mecanismos fuertes y asegura que no hay restauración posible.
Limpieza de evidencia: elimina rastros para dificultar respuestas forenses.

Mitigaciones y detección

Restricciones en la ejecución de CMSTP.exe: bloquea su uso para mitigar bypass.
Monitoreo de comandos como wevtutil, bcdedit, PowerShell con registros de módulos y tráfico HTTP sospechoso.
Control de cuentas privilegiadas y mínima exposición a entornos seguros con GPOs y herramientas como AppLocker para prevenir persistencia.
Escaneos regulares y controles de integridad de servicios; asegurar que herramientas de defensa funcionen incluso en safe mode.

Conclusión

LockBit 3.0 representa una evolución técnica significativa del ransomware moderno. Su arsenal cubre desde evasión avanzada y chequeos de entorno hasta cifrado robusto y limpieza estratégica de rastros. Las defensas deben enfocarse en detección temprana de anomalías en ejecución (UAC bypass, CMSTP, reinicio safe-mode), monitoreo del tráfico HTTP codificado, y asegurar persistencia en los entornos de defensa, incluso si se ejecuta en safe mode.

CL0P →

Nombre	Dominio	Uso	Duración	Tipo
wpl_user_preference	www.antifraude.co	WP GDPR Cookie Consent Preferences.	1 year	HTTP
YSC	youtube.com	YouTube session cookie.	Session	HTTP
_GRECAPTCHA	www.google.com	---	6 months	---
m	m.stripe.com	---	2 years	---

Nombre	Dominio	Uso	Duración	Tipo
NID	google.com	Google unique id for preferences.	6 months	HTTP
__cf_bm	twitter.com	Generic CloudFlare functional cookie.	Session	HTTP

Nombre	Dominio	Uso	Duración	Tipo
VISITOR_PRIVACY_METADATA	youtube.com	---	6 months	---
__Secure-ROLLOUT_TOKEN	youtube.com	---	6 months	---

Servicios de Ethical Hacking, Red Team y SecDevOps

Infraestructura IT y aplicaciones

Servicios Forenses, Evidencias DIgitales y E-Discovery

Procesamiento forense agnóstico

Monitoreo Digital 7x24, SOC Virtual y CISO Virtual

Alianzas con los mejores de la industria

Consultoría en Gobierno, Riesgo y Cumplimiento de Ciberseguridad

Ciberseguridad desde la estrategia

Servicios de Concientización, Ingeniería Social y Simulaciones

El eslabón más debil