Lockbit 3.0

LockBit 3.0 es una evolución avanzada del ransomware como servicio (RaaS), detectada por primera vez en junio de 2022. Está diseñado para Windows y ESXi, y presenta mejoras significativas en evasión de defensas, exfiltración y arquitectura modular en comparación con versiones previas, como LockBit 2.0 y LockBit Black.

Técnicas Destacadas en MITRE ATT&CK

1. Elevación de privilegios

  • T1548.002 Bypass de UAC vía COM elevado: utiliza interfaces COM elevadas para sortear el Control de Cuentas de Usuario.
  • T1218.003 Ejecución de binario del sistema (CMSTP): realiza bypass de UAC con cmstp.exe cuando no tiene privilegios administrativos.

2. Persistencia y ejecución inicial

  • T1547.004 Autoarranque: DLL helper de Winlogon: modifica la clave HKLM\…\Winlogon para autoejecución.
  • T1543.003 Creación/modificación de servicio Windows: instala un servicio para mantener persistencia.

3. Descubrimiento, propagación y movimiento lateral

  • T1082 Descubrimiento de sistema y T1057 Descubrimiento de procesos: identifica host, servicio y procesos para preparar acciones posteriores.
  • T1135 Descubrimiento de recursos compartidos: detecta unidades de red para cifrar o expandir el ataque.
  • T1021.002 Servicios remotos (SMB) y T1078.003 Uso de cuentas locales: facilita el movimiento lateral usando SMB y credenciales comprometidas.

4. Evasión y obfuscación

  • T1120 Descubrimiento de dispositivos externos: detecta unidades USB o discos externos para cifrado.
  • T1027.002 Empaquetado y T1027.013 Cifrado/encodificación: ofusca y cifra componentes del malware.
  • T1140 Deobfuscación/decodificación: descifra su payload durante la ejecución.
  • T1622 Evasión de depuración: detecta debuggers y bloquea su actividad.
  • T1484.001 Modificación de políticas de grupo: ajusta configuraciones de GPO para favorecer el movimiento lateral.
  • T1480 Guardrails de ejecución: comprueba parámetros del sistema (frase clave única y configuración del idioma) para verificar que no se ejecute en ciertos entornos test o geográficos.

5. Defensa y eliminación de rastros

  • T1562.001 Inhibición de defensas: desactiva Windows Defender y antivirus.
  • T1562.009 Reinicio en Modo Seguro: reinicia el sistema en “Safe Mode” donde los escudos de seguridad están limitados.
  • T1070.001 Limpieza de logs del sistema: elimina registros de eventos mediante wevtutil.
  • T1489 Detención de servicios: finaliza servicios de seguridad, bases de datos, backups y otros que interfieran en el cifrado.

6. Comunicación y exfiltración

  • T1071.001 Protocolo HTTP: utiliza HTTP para enviar información del host al servidor de comando y control.
  • T1132.001 Codificación de datos Base64 y T1573.001 Cifrado simétrico (AES): las comunicaciones de C2 están cifradas y codificadas para evitar detección.

7. Impacto final

  • T1486 Cifrado de datos: utiliza algoritmos robustos como AES-256, ChaCha20 y RSA-2048 para cifrar archivos.
  • T1490 Inhibición de la recuperación: elimina snapshots del sistema (shadow copies) para prevenir restauración fácil.

Flujo de ataque resumido

  1. Ingreso y elevación: ingreso del payload, UAC bypass vía COM o CMSTP.
  2. Persistencia inicial: se establece un servicio o se modifica Winlogon.
  3. Reconocimiento del entorno: identifica configuración regional, idioma, dispositivos y redes compartidas.
  4. Preparación del terreno: desactiva defensas y logs; reinicia el sistema en safe mode si es necesario; termina servicios críticos.
  5. Comunicación segura con C2: envía datos codificados a través de HTTP cifrado.
  6. Cifrado masivo: utiliza mecanismos fuertes y asegura que no hay restauración posible.
  7. Limpieza de evidencia: elimina rastros para dificultar respuestas forenses.

Mitigaciones y detección

  • Restricciones en la ejecución de CMSTP.exe: bloquea su uso para mitigar bypass.
  • Monitoreo de comandos como wevtutil, bcdedit, PowerShell con registros de módulos y tráfico HTTP sospechoso.
  • Control de cuentas privilegiadas y mínima exposición a entornos seguros con GPOs y herramientas como AppLocker para prevenir persistencia.
  • Escaneos regulares y controles de integridad de servicios; asegurar que herramientas de defensa funcionen incluso en safe mode.

Conclusión

LockBit 3.0 representa una evolución técnica significativa del ransomware moderno. Su arsenal cubre desde evasión avanzada y chequeos de entorno hasta cifrado robusto y limpieza estratégica de rastros. Las defensas deben enfocarse en detección temprana de anomalías en ejecución (UAC bypass, CMSTP, reinicio safe-mode), monitoreo del tráfico HTTP codificado, y asegurar persistencia en los entornos de defensa, incluso si se ejecuta en safe mode.

¡Conéctate con nosotros en las redes sociales!

Estamos presentes en todas tus plataformas favoritas, compartiendo siempre contenido actualizado y útil para ti.

¿Te interesa aprender sobre ciberseguridad y cómo protegerte en el mundo digital? Escucha nuestro podcast en YouTube, donde te contamos todo sobre seguridad informática de manera práctica y fácil de entender.

Nunca compartiremos tus datos con nadie. Nuestra Política