GETOVERX FORUM Community Support
Ransomware – NoEscape (2023) - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Ransomware (https://forum.getoverx.com/forumdisplay.php?fid=16)
+--- Thread: Ransomware – NoEscape (2023) (/showthread.php?tid=58)

Ransomware – NoEscape (2023) - mrwebfeeder - 11-29-2025

Nombre: LockBit 3.x – Variante multi-plataforma RaaS (AES/RSA)

Categoría: Ransomware (cifrado híbrido AES/RSA, multi-plataforma RaaS)

Fecha de descubrimiento: 2022–2023 (campañas multi-plataforma)

Comportamiento (lo que hace y archivos que infecta):
- Variante operada como Ransomware-as-a-Service (RaaS), con binarios adaptados para diferentes plataformas (Windows, Linux/servidores, entornos virtualizados).
- AES/RSA hybrid encryption:
- Utiliza cifrado simétrico (AES) para cifrar el contenido de los archivos.
- Protege las claves de sesión con cifrado asimétrico (RSA), impidiendo el descifrado sin la clave privada del atacante.
- Escanea unidades locales y de red en busca de:
- Documentos Office, PDF, imágenes, proyectos.
- Bases de datos, máquinas virtuales y backups accesibles.
- Shares SMB/NFS y unidades mapeadas.
- Suelen acompañarse de:
- Exfiltración de datos antes o durante el cifrado (doble/triple extorsión).
- Intentos de detener servicios de seguridad, bases de datos y procesos que bloquean archivos para maximizar el impacto.
- En entornos multi-plataforma:
- Puede existir un binario por sistema (Windows/Linux/ESXi), compartiendo la misma infraestructura de C2 y esquema de extorsión.

Persistencia:
- Uso de mecanismos estándar para mantenerse activo el tiempo suficiente para cifrar a gran escala:
- Claves de Registro de ejecución automática (Run/RunOnce) y/o servicios en Windows.
- Tareas programadas (schtasks, cron) para relanzar el binario o sus loaders.
- Abuso de herramientas de administración y despliegue:
- PSExec, scripts PowerShell, GPOs en dominios Windows.
- SSH, scripts de automatización y herramientas de gestión en servidores Linux/hipervisores.
- Persistencia operativa:
- Uso de credenciales comprometidas y herramientas de acceso remoto para volver a lanzar el cifrado si la primera oleada es interrumpida.

Hash real de referencia (SHA-256):
Muestra pública asociada a variante multi-plataforma:
Code:
8e89dba3ef7ef55a344d7d68ed8b59f01de40cd7177f2645cae1e75aad8eafcc

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • HIPS / EDR:
    - Activar el behavioral ransomware blocker (EDR) para detectar patrones de cifrado masivo y cambios rápidos de extensión en múltiples archivos.
    - Kill unauthorized encryption threads:
    - Crear reglas que identifiquen procesos que:
    - Abren y reescriben un gran volumen de archivos en poco tiempo.
    - Renombran cientos o miles de ficheros con nuevas extensiones desconocidas.
    - Configurar respuesta automática para:
    - Matar el proceso responsable del cifrado.
    - Bloquear el hash del binario para futuras ejecuciones.
    - Vigilar intentos de:
    - Borrado de Shadow Copies.
    - Desactivación de servicios de seguridad.
    - Uso anómalo de herramientas administrativas para desplegar el payload.

  • Firewall / Aislamiento:
    - Auto-isolate host from network:
    - Integrar el EDR con el módulo de firewall para que, ante detección de comportamiento de ransomware, se apliquen reglas de aislamiento:
    - Bloqueo de SMB, RDP y otros protocolos de movimiento lateral.
    - Restricción de todas las conexiones salientes salvo las necesarias para la gestión y el análisis forense.
    - Restringir de forma preventiva:
    - Acceso entre segmentos críticos (servidores de ficheros, hipervisores, sistemas de backup).
    - Tráfico hacia IPs/C2 desconocidos asociados a la familia o campaña.

  • Antivirus:
    - Mantener firmas y heurísticas específicas de ransomware actualizadas.
    - Ejecutar escaneos en:
    - Directorios de sistema, ProgramData y rutas de despliegue habituales.
    - Shares y unidades de red mapeadas donde puedan residir los binarios multi-plataforma.
    - Eliminar o poner en cuarentena:
    - Ejecutables principales.
    - Droppers y scripts auxiliares.

  • Sandbox:
    - Ejecutar en Sandbox cualquier binario o herramienta administrativa sospechosa antes de distribuirla en la red:
    - Scripts de actualización.
    - Utilidades entregadas por terceros/proveedores.
    - Observar:
    - Intentos de cifrado masivo, cambios de extensión y generación de notas de rescate.
    - Creación de nuevas tareas programadas o claves de persistencia.

  • Medidas posteriores al incidente:
    - Revisar y rotar credenciales privilegiadas (dominio, ESXi, Linux, cuentas de servicio).
    - Auditar scripts de automatización, GPOs y herramientas de despliegue para detectar inyecciones maliciosas.
    - Restaurar datos únicamente desde backups offline verificados, asegurando que:
    - No estuvieron accesibles durante el incidente.
    - No contienen copias del ransomware ni loaders.

Notas opcionales:
- Las variantes multi-plataforma en Rust/AES/RSA refuerzan la capacidad de operar campañas RaaS contra infraestructuras heterogéneas (Windows + Linux/ESXi), aumentando el impacto potencial de un único compromiso.