GETOVERX FORUM Community Support
RANSOMWARE – LockBit 3.0 - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Ransomware (https://forum.getoverx.com/forumdisplay.php?fid=16)
+--- Thread: RANSOMWARE – LockBit 3.0 (/showthread.php?tid=28)

RANSOMWARE – LockBit 3.0 - mrwebfeeder - 11-29-2025

Nombre: LockBit Black (LockBit 3.0)

Familia: LockBit

Categoría: Ransomware-as-a-Service (RaaS)

Fecha de descubrimiento: 2022

Comportamiento (lo que hace y archivos que infecta):
- Cifrado ultrarrápido:
- Optimizado para cifrar grandes volúmenes de archivos en muy poco tiempo.
- Recorre unidades locales, unidades de red mapeadas y shares (SMB/NAS).
- Cifra documentos Office, PDF, imágenes, proyectos, bases de datos, VMs y backups accesibles.
- Exfiltración de datos:
- Antes o durante el cifrado, exfiltra información sensible:
- Documentación interna, datos de clientes, proyectos, bases de datos.
- Los datos robados se usan para presionar a la víctima (amenaza de filtración pública).
- Sistema de doble extorsión:
- Combina:
- Cifrado de archivos (indisponibilidad de datos).
- Amenaza de publicar o subastar la información robada si no se paga el rescate.
- En muchos casos, la filtración parcial de datos sirve como “demostración” de que el robo fue real.
- Suele detener servicios y procesos que bloquean archivos (bases de datos, aplicaciones de backup) para maximizar el número de ficheros cifrados y el daño operativo.

Persistencia:
- Tarea programada con nombre aleatorio:
- Crea una tarea programada (schtasks) con nombre aparentemente aleatorio o que imita tareas del sistema.
- Esta tarea apunta al binario del ransomware o a un loader, y se configura para ejecutarse en:
- Inicio de sesión.
- Arranque del sistema.
- Intervalos de tiempo concretos.
- Puede combinarse con:
- Copia del binario en rutas como
Code:
C:\ProgramData\
o carpetas de usuario.
- Uso de credenciales comprometidas y herramientas de administración remota (RDP, PSExec, etc.) para relanzar el payload si se interrumpe la primera ejecución.

Hash real de referencia (SHA-256):
Muestra pública asociada a LockBit Black (LockBit 3.0):
Code:
8d47d8bcbb2b87e0a5bdb9786ba89e5cc017bc4e310e1c0ef5c975c3ac3e0728

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • EDR con bloqueo de comportamiento:
    - Activar el motor de EDR con reglas específicas de ransomware para detectar:
    - Cifrado masivo y cambios rápidos de extensión en miles de archivos.
    - Accesos intensivos a shares de red y unidades mapeadas.
    - Configurar respuesta automática para:
    - Matar el proceso responsable del cifrado.
    - Bloquear el hash del ejecutable.
    - Generar alerta crítica y (opcional) iniciar aislamiento de red del host afectado.

  • Segmentación de red:
    - Dividir la red en segmentos (VLANs / zonas) para evitar que un solo host comprometido:
    - Acceda directamente a todos los servidores de ficheros y backups.
    - Pueda cifrar de forma masiva recursos compartidos críticos.
    - Usar el firewall de GetOverX Shield para:
    - Restringir SMB/RDP/administración sólo a orígenes/destinos autorizados.
    - Detectar y frenar intentos de movimiento lateral sospechoso.

  • Copias offline:
    - Mantener copias de seguridad offline o inmutables:
    - No montadas ni accesibles desde las mismas credenciales usadas en producción.
    - Verificadas de forma periódica con pruebas de restauración.
    - Tras un incidente:
    - Limpiar los sistemas con GetOverX Shield (AV + EDR).
    - Restaurar datos únicamente desde backups offline verificados, asegurando que no contienen el ransomware ni sus loaders.

Notas opcionales:
- LockBit Black es una de las variantes más agresivas de la familia LockBit, con alta velocidad de cifrado y modelos de afiliación RaaS que facilitan su adopción por múltiples grupos de atacantes diferentes.