Resumen anterior: ¿Quién es LockBit?
LockBit es un ransomware activo como servicio ( RaaS, que apareció por primera vez en septiembre de 2019. Debido a que la versión inicial añadía la extensión “.abcd” al cifrar archivos, se conocía como “ransomware ABCD”. Este grupo es conocido por su tecnología madura, alta automatización y eficiencia en el rescate, y ha llevado a cabo numerosos ataques a nivel mundial contra empresas, gobiernos, instituciones educativas y de salud, siendo clasificado por varias agencias de seguridad nacional como una amenaza persistente avanzada ) APT (. Ya hemos revelado información sobre este grupo el año pasado.
![])https://img.gateio.im/social/moments-cfbf43a9d7561a9b81d78a8ce1b8eb5c(
La tecnología de LockBit sigue iterando, desarrollando múltiples versiones:
- LockBit 1.0 )2019(: caracterizado por el sufijo de cifrado “.abcd”, es compatible con la plataforma Windows, utiliza algoritmos RSA + AES para el cifrado y tiene una velocidad de ejecución rápida;
- LockBit 2.0 )2021(: Introduce la capacidad de propagación automatizada, mejorando la eficiencia del ransomware;
- LockBit 3.0 / LockBit Black )2022(: diseño modular, con fuerte capacidad de resistencia al análisis, y por primera vez se lanzó un programa de recompensas por vulnerabilidades, ofreciendo recompensas a investigadores de seguridad externos para probar el ransomware;
- LockBit Green (la supuesta versión de 2023): se rumorea que integra parte del código del desmantelado grupo de ransomware Conti.
Como un representante típico del modelo RaaS, LockBit atrae a “afiliados ) Affiliates (” mediante el suministro de un kit de herramientas de ransomware por parte de desarrolladores centrales, quienes son responsables de los ataques específicos, la infiltración y el despliegue, y se incentivan a través de la división del rescate, donde los atacantes generalmente pueden recibir un 70% de las ganancias. Además, su estrategia de “doble extorsión” es también muy opresiva: por un lado, cifra los archivos, y por otro, roba datos y amenaza con hacerlos públicos. Si la víctima se niega a pagar el rescate, los datos serán publicados en su sitio de filtración exclusivo.
En términos técnicos, LockBit es compatible con sistemas Windows y Linux, utiliza tecnología de cifrado multihilo y el conjunto de instrucciones AES-NI para lograr un cifrado de alto rendimiento, tiene la capacidad de moverse lateralmente en la red interna (como el uso de PSExec, ataques de fuerza bruta RDP, etc.), y antes de cifrar, también cerrará proactivamente servicios críticos como bases de datos y eliminará copias de seguridad.
Los ataques de LockBit suelen ser altamente sistemáticos y poseen características típicas de APT. La cadena de ataque es aproximadamente la siguiente:
- Acceso inicial (correo electrónico de phishing, explotación de vulnerabilidades, contraseñas débiles de RDP)
- Movimiento horizontal (Mimikatz, Cobalt Strike, etc.)
- Elevación de permisos
- Robo de datos
- Cifrado de archivos
- Mensaje de rescate emergente
- Publicar información en sitios de filtración (si no se ha pagado)
Durante su actividad, LockBit desató varios eventos impactantes:
- Ataque a la Agencia Tributaria de Italia en 2022, afectando los datos de millones de contribuyentes;
- Afirmó haber infiltrado el hospital SickKids de Canadá, luego se disculpó y proporcionó un descifrador;
- Varios fabricantes (como empresas de defensa y dispositivos médicos) fueron cifrados por LockBit;
- En el segundo trimestre de 2022, representaron más del 40% de los ataques de ransomware a nivel mundial;
- Ha afectado a más de 1000 empresas, superando con creces a grupos veteranos como Conti y REvil;
- La tasa de éxito de los secuestros es extremadamente alta, en 2022 más de la mitad de los 100 millones de dólares de rescate propuestos fueron efectivamente recibidos.
Sin embargo, incluso un grupo tan poderoso como LockBit no es infalible. El 19 de febrero de 2024, el sitio web de LockBit fue clausurado en una acción conjunta de las agencias de aplicación de la ley del Reino Unido, la Oficina Federal de Investigación de EE. UU., Europol y la Interpol, y varios miembros de LockBit fueron arrestados o están en busca y captura, pero el equipo de desarrollo central aún no ha sido completamente desmantelado, y algunas muestras siguen circulando en la dark web, utilizadas por grupos subsidiarios.
) Incidente: sitio de LockBit hackeado
Hoy, SlowMist### recibió información: el sitio onion de LockBit ha sido hackeado, los atacantes no solo tomaron el control de su panel de control, sino que también liberaron un archivo comprimido que contiene la base de datos, lo que resultó en la filtración de la base de datos de LockBit, incluyendo direcciones de bitcoin, claves privadas, registros de chat y otra información sensible relacionada con la empresa.
Lo más dramático es que los hackers dejaron una frase significativa en el sitio manipulado: “No cometas crímenes, cometer crímenes es malo, de Praga.”
Poco después, los datos relevantes fueron subidos a plataformas como GitHub y se difundieron rápidamente.
LockBit oficial luego respondió en su canal en ruso, y el sentido general es el siguiente:
Rey: ¿LockBit fue hackeado? ¿Hay avances?
LockBitSupp: Solo se comprometió el panel de control ligero con código de autorización, no se robó ningún descifrador ni se dañaron los datos de la empresa.
Rey: Sí, pero eso significa que se han filtrado direcciones de Bitcoin, contenido de conversaciones y claves… ¿eso también afectará la reputación?
Rey: ¿Se ha robado el Locker Builder (constructor de rescate) o el código fuente?
Rey: ¿Volverán a estar en línea? Si es así, ¿cuánto tiempo llevará?
LockBitSupp: Solo se robaron la dirección de Bitcoin y el contenido de la conversación, no se robó el descifrador. Sí, esto afecta la reputación, pero el relanzamiento después de la reparación también afectará la reputación. No se robó el código fuente. Ya estamos trabajando en la recuperación.
Rey: Bueno, les deseo buena suerte. Gracias por tu respuesta.
( análisis de filtración
SlowMist) descargó de inmediato los archivos filtrados relevantes (solo para uso interno de investigación, las copias de seguridad se eliminaron a tiempo). Hemos realizado un análisis preliminar de la estructura del directorio, los archivos de código y el contenido de la base de datos, intentando reconstruir la arquitectura de la plataforma de operación interna de LockBit y sus componentes funcionales.
![]###https://img.gateio.im/social/moments-5d58a1b8f0663f172a3b53e867afca4c(
Desde la estructura del directorio, esto parece una plataforma de gestión de víctimas de LockBit escrita en una arquitectura ligera de PHP.
Análisis de la estructura del directorio:
- api/, ajax/, services/, models/, workers/ muestran que el proyecto tiene cierta modularidad, pero no se ajusta a la estructura convencional de frameworks como Laravel (por ejemplo, app/Http/Controllers);
- DB.php, prodDB.php, autoload.php, functions.php indican que la base de datos y la carga de funciones son gestionadas manualmente;
- vendor/ + composer.json utiliza Composer, lo que indica que puede haber bibliotecas de terceros, pero todo el marco puede estar escrito por uno mismo;
- los nombres de carpetas como victim/ y notifications-host/ son bastante sospechosos (especialmente en la investigación de seguridad).
Por lo tanto, especulamos que este hacker de “Praga” podría estar utilizando un PHP 0 day o 1 day para comprometer sitios web y consolas.
La consola de gestión es la siguiente:
![])https://img.gateio.im/social/moments-638ae43ae7dd23b3f4a46d1b65aa047e(
Parte de la información de comunicación en el chat:
![])https://img.gateio.im/social/moments-05a790a5f442363d6dd8d4f540a6a08e(
Veamos la información destacada en el cuadro rojo: ¿El CEO de la víctima de co … coinbase? ¿Pagar el rescate?
Al mismo tiempo, la base de datos filtrada también involucra aproximadamente 60,000 direcciones de BTC:
![])https://img.gateio.im/social/moments-98af86d17156f34bffaf3572b6d1064b(
Se han filtrado las contraseñas de las cuentas de 75 usuarios en la base de datos.
![])https://img.gateio.im/social/moments-9ad7b2a165b0b44b488a8ce629c92ee5(
![])https://img.gateio.im/social/moments-b165ac3ae81709c364c99de146b8822c(
Charla de regateo interesante:
![])https://img.gateio.im/social/moments-9bb7fc74fe43af66816b212207e3ecd8(
Buscar aleatoriamente pedidos con pagos exitosos:
![])https://img.gateio.im/social/moments-f87e3bee4e601a8f6719260e46efb302(
Dirección del pedido:
![])https://img.gateio.im/social/moments-8d95205587817fc4e9a8f778a3e8e223(
Y utiliza MistTrack para rastrear direcciones de recepción de Bitcoin:
![])https://img.gateio.im/social/moments-82ba79a37998661c4fc78828b70571f8(
El flujo de fondos de lavado de dinero es relativamente claro, y finalmente fluye hacia la plataforma de intercambio. Debido a las limitaciones de espacio, MistTrack realizará más análisis sobre las direcciones de criptomonedas en el futuro; si está interesado, puede seguir a X: @MistTrack_io.
Actualmente, LockBit oficial también ha publicado una declaración reciente sobre este evento. La traducción aproximada es la siguiente:
![])https://img.gateio.im/social/moments-ee3f47701516799a0cfc67864a3f23e6(
“El 7 de mayo de 2025, nuestro panel de control liviano con función de registro automático fue violado, y cualquier persona podía eludir la autorización para acceder directamente a dicho panel. La base de datos fue robada, pero no se involucraron descifradores ni datos sensibles de la empresa afectada. Actualmente estamos investigando el método específico de la violación y comenzando el proceso de reconstrucción. El panel de control principal y el blog siguen funcionando con normalidad.”
“Se dice que el atacante es una persona llamada ‘xoxo’, de Praga. Si puedes proporcionar información precisa sobre su identidad - siempre que el mensaje sea fiable, estoy dispuesto a pagar por ello.”
La respuesta de LockBit es bastante irónica. Anteriormente, el Departamento de Estado de EE. UU. había emitido un aviso de recompensa, ofreciendo hasta 10 millones de dólares por información sobre la identidad y ubicación de los miembros clave o colaboradores del grupo LockBit; al mismo tiempo, para alentar a revelar las acciones de ataque de sus afiliados )Affiliates(, se ofreció una recompensa adicional de hasta 5 millones de dólares.
Hoy en día, LockBit ha sido hackeado, y a su vez, está ofreciendo recompensas en su canal para encontrar pistas sobre los atacantes—como si el “mecanismo de caza de recompensas” se volviera en su contra, lo cual resulta irónico y también expone aún más las vulnerabilidades y el caos en su sistema de seguridad interno.
) resumen
LockBit ha estado activo desde 2019 y es una de las bandas de ransomware más peligrosas del mundo, con estimaciones de rescate acumuladas (incluidos datos no revelados) de al menos USD 150 millones. Su modelo RaaS (Ransom-as-a-Service) atrae a un gran número de franquiciados para que participen en el ataque. Aunque la pandilla fue golpeada por la aplicación de la “Operación Cronos” a principios de 2024, sigue activa. Este incidente marca un gran desafío para la seguridad de los sistemas internos de LockBit, que puede afectar su credibilidad, confianza de los afiliados y estabilidad operativa. Al mismo tiempo, también muestra la tendencia de los “ataques inversos” contra las organizaciones cibercriminales en el ciberespacio.
El equipo de seguridad de Slow Fog sugiere a todas las partes:
- Monitoreo de inteligencia continuo: seguimiento cercano de la dinámica de reconstrucción de LockBit y versiones potenciales de variantes;
- Seguimiento de las tendencias de la dark web: monitoreo en tiempo real de foros, sitios y fuentes de información relacionadas, para prevenir la divulgación secundaria y el uso indebido de datos;
- Refuerzo de la defensa contra amenazas RaaS: revisar la propia superficie de exposición y fortalecer la identificación y los mecanismos de bloqueo de la cadena de herramientas RaaS;
- Mecanismo de respuesta organizativa mejorado: si se descubre una relación directa o indirecta con la propia organización, se recomienda informar de inmediato a la entidad competente e iniciar el plan de emergencia;
- Seguimiento de fondos y vinculación con prevención de fraudes: si se detectan rutas de pago sospechosas que ingresan a la propia plataforma, se debe reforzar la prevención de lavado de dinero en combinación con el sistema de monitoreo en la cadena.
Este incidente nos recuerda una vez más que incluso las organizaciones de hackers con habilidades técnicas extraordinarias no pueden escapar completamente de los ciberataques. Esta es también una de las razones por las que los profesionales de la seguridad continúan luchando.
