GETOVERX FORUM Community Support
Ransomware – LockBit Green (2023) - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Ransomware (https://forum.getoverx.com/forumdisplay.php?fid=16)
+--- Thread: Ransomware – LockBit Green (2023) (/showthread.php?tid=60)

Ransomware – LockBit Green (2023) - mrwebfeeder - 11-29-2025

Nombre: LockBit 3.0 (LockBit Black) – Variante inspirada en Conti

Categoría: Ransomware (cifrado de archivos, doble/triple extorsión)

Fecha de descubrimiento: 2022 (evolución tras filtración de código de Conti)

Comportamiento (lo que hace y archivos que infecta):
- Variante de LockBit 3.0 que incorpora técnicas y código inspirados en el ransomware Conti (“Conti-inspired LockBit version”).
- Escanea unidades locales y de red para localizar:
- Documentos Office, PDF, imágenes, proyectos.
- Bases de datos, máquinas virtuales y backups accesibles.
- Cifra los archivos encontrados usando criptografía fuerte (generalmente combinación de cifrado simétrico + asimétrico), añadiendo extensiones específicas y dejando notas de rescate en múltiples carpetas.
- Suele exfiltrar información sensible antes o durante el cifrado para:
- Presionar con publicación de datos (doble/triple extorsión).
- Incrementar el impacto del incidente y la presión sobre la víctima.
- Comparte con Conti:
- Alta velocidad de cifrado.
- Uso intensivo de herramientas legítimas (living-off-the-land) para desplegarse y moverse lateralmente.
- Enfoque en entornos corporativos y redes de dominio.

Persistencia:
- Se apoya en la misma filosofía de despliegue masivo que Conti:
- Uso de credenciales comprometidas para ejecutar el ransomware en múltiples equipos.
- Abuso de herramientas administrativas (PSExec, GPO, scripts PowerShell) para distribuir y lanzar el payload.
- Puede usar:
- Claves de ejecución automática en el Registro (Run/RunOnce).
- Tareas programadas para relanzar el binario o loaders auxiliares.
- Los operadores suelen mantener persistencia adicional mediante:
- Cuentas de dominio comprometidas.
- Herramientas de administración remota (RDP, soluciones de soporte remoto, etc.).

Hash real de referencia (SHA-256):
Muestra pública asociada a variante LockBit 3.0 inspirada en Conti:
Code:
c3ba315a8a79d3dc2aa743a20f2d6b0c85bfc74fcecb829306b701cea0443e3d

Mitigación con GetOverX Shield v3.0.2.0 o Superior:
  • HIPS / EDR:
    - Stop unauthorized privilege escalation:
    - Crear reglas para detectar y bloquear intentos de elevación de privilegios no autorizados (por ejemplo, uso anómalo de runas, UAC bypass, abuso de servicios o tareas elevadas).
    - Monitorizar:
    - Creación de nuevos usuarios administradores.
    - Cambios de pertenencia a grupos privilegiados (Administrators, Domain Admins).
    - Configurar respuesta automática:
    - Matar procesos que intenten elevar privilegios de forma sospechosa.
    - Registrar y alertar de inmediato en logs unificados.
    - Alert on mass file renames:
    - Definir reglas para generar alertas cuando un proceso renombre gran cantidad de archivos en poco tiempo (patrón típico de cifrado).
    - Combinar esta regla con detección de escrituras masivas y cambios de extensión.

  • Firewall:
    - Block lateral movement with Firewall rules:
    - Restringir tráfico SMB, RDP y otros protocolos usados para movimiento lateral únicamente a orígenes y destinos estrictamente necesarios.
    - Crear segmentos de red (VLANs) que limiten la propagación entre servidores, estaciones de trabajo y entornos críticos.
    - Aislar de forma inmediata los hosts con indicios de cifrado o comportamientos de ransomware para impedir que el ataque se extienda.
    - Bloquear conexiones salientes hacia IPs/C2 desconocidos o reputacionalmente sospechosos para:
    - Limitar exfiltración de datos.
    - Cortar comunicación con el panel de control de los operadores.

  • Antivirus:
    - Mantener motores y firmas actualizados, incluyendo heurísticas de ransomware.
    - Realizar escaneos focalizados en:
    - Rutas donde se despliegan herramientas administrativas y scripts.
    - Directorios de sistema y de red utilizados para staging del ransomware.
    - Eliminar:
    - Ejecutables de LockBit 3.0.
    - Droppers y herramientas auxiliares detectadas.

  • Sandbox:
    - Probar en Sandbox:
    - Ejecutables sospechosos que vayan a utilizarse en despliegues internos (scripts de administración, “actualizaciones” entregadas por terceros, etc.).
    - Adjuntos y descargas que puedan venir encadenados a campañas de acceso inicial.
    - Observar si:
    - Ejecutan cifrado masivo.
    - Realizan escalado de privilegios.
    - Intentan movimiento lateral (PSExec, WMI, SMB).

  • Medidas posteriores al incidente:
    - Revisar y revocar credenciales privilegiadas posiblemente comprometidas.
    - Auditar GPOs, scripts de inicio y herramientas de administración remota en busca de backdoors o configuraciones maliciosas.
    - Restaurar sistemas desde backups offline verificados, asegurando que:
    - No fueron accesibles desde equipos comprometidos durante el incidente.
    - No presentan rastros de cifrado o manipulación.

Notas opcionales:
- Esta variante “inspirada en Conti” combina lo peor de ambos mundos: la velocidad y agresividad de Conti con la infraestructura RaaS y la flexibilidad de la familia LockBit, orientada a compromisos en redes empresariales de gran tamaño.