LockBit Renacido: Dentro de la Evolución del Grupo después de su Desmantelamiento

Resumen

LockBit es una operación de ransomware como servicio (RaaS) en funcionamiento desde 2019 que se basa en tácticas de doble extorsión. Después de un gran desmantelamiento por parte de la policía en febrero de 2024, el grupo resurgió con nuevas variantes, incluyendo LockBit-NG-Dev y LockBit 5.0. Estas últimas variantes introducen soporte multiplataforma, defensas anti-análisis más fuertes y un comportamiento destructivo posterior al cifrado. La operación continúa atacando a organizaciones de alto valor en múltiples sectores a nivel mundial.

Investigación

El informe rastrea la progresión de LockBit desde la versión 3.0 (LockBit Black), pasando por la versión experimental LockBit-NG-Dev, hasta la actual iteración 5.0. Describe aspectos técnicos como rutinas criptográficas personalizadas, reflexión de DLL, uso de .NET CoreRT, empaquetado con MPRESS y fuerte dependencia de nombres de servicios con hash para detener procesos y servicios. Los cambios de comportamiento documentados incluyen modos de ejecución «invisibles», alteración de ETW y borrado automático de registros. El análisis también cubre la interrupción de infraestructura realizada bajo la Operación Cronos.

Mitigación

Los defensores deben mantener copias de seguridad fuera de línea, inmutables y verificar rutinariamente sus procedimientos de restauración. Implementar detección de endpoints que busque comportamientos característicos de ransomware, incluyendo actividad sospechosa de PowerShell, uso de comandos de administración de VSS y creación anormal de mutex. Limitar el uso de cuentas privilegiadas, restringir técnicas de duplicación de tokens y bloquear dominios de C2 conocidos de LockBit mientras monitorean patrones anómalos de tráfico TLS.

Respuesta

Cuando se detecta actividad de LockBit, aísle inmediatamente el sistema comprometido, capture la memoria volátil y recopile todos los datos de registro pertinentes. Identifique y bloquee el host C2, termine el proceso del ransomware y conserve el valor del mutex para trabajos forenses posteriores. Comience la restauración desde copias de seguridad confiables y escale a equipos de respuesta a incidentes internos o externos. Comparta indicadores de compromiso con comunidades relevantes de inteligencia sobre amenazas e intercambio de información.

Ejecución de Simulación

Prerequisito: La Verificación Pre‑vuelo de Telemetría y Línea Base debe haberse aprobado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.

• Narrativa del Ataque y Comandos:
  El atacante ya ha colocado el binario del ransomware en el host de la víctima. Para cubrir sus huellas, el ransomware invoca fsutil.exe para sobrescribir su propio archivo con bytes nulos, eliminando efectivamente su ejecutable del disco. Esto se realiza después de que la carga útil haya completado su fase de cifrado. Los pasos son:

  1. Determinar la ruta del ejecutable del ransomware en ejecución ($MyPath).
  2. Llamar a fsutil.exe file setZeroData en $MyPath con la bandera 0 para poner a cero todo el archivo.
  3. Opcionalmente, eliminar el archivo ahora vacío para eliminar la entrada del sistema de archivos.

  Esta secuencia produce un evento de creación de procesos donde Imagen=*fsutil.exe* y Línea de Comando=*file setZeroData <ruta>*, coinciden con la regla de Sigma.

• Script de Prueba de Regresión:

  # Simular autoeliminación de LockBit-NG-Dev mediante fsutil
  # 1. Crear un ejecutable “malicioso” de prueba (simula el binario del ransomware)
  $maliciousPath = "$env:TEMPmalicious.exe"
  Set-Content -Path $maliciousPath -Value ([byte[]](0..255)) -Encoding Byte -Force
  
  # 2. Verificar que el archivo exista y su tamaño (opcional)
  Write-Host "Creado ransomware de prueba en $maliciousPath (Tamaño: $(Get-Item $maliciousPath).Length bytes)"
  
  # 3. Sobrescribir el archivo con ceros utilizando fsutil
  Write-Host "Sobrescribiendo el archivo con ceros utilizando fsutil..."
  fsutil.exe file setZeroData $maliciousPath 0
  
  # 4. Opcional: eliminar el archivo ahora vacío para eliminar completamente las huellas
  Write-Host "Eliminando el archivo puesto en cero..."
  Remove-Item -Path $maliciousPath -Force
  
  Write-Host "Simulación completa. Verificar detección en SIEM."

• Comandos de Limpieza:

  # Asegurarse de que se eliminan los artefactos sobrantes
  $maliciousPath = "$env:TEMPmalicious.exe"
  if (Test-Path $maliciousPath) {
      Remove-Item -Path $maliciousPath -Force
      Write-Host "Archivo sobrante $maliciousPath eliminado"
  } else {
      Write-Host "No se encontraron artefactos sobrantes."