LockBit (ransomware)

34 servidores incautados, 200+ wallets de criptomonedas confiscadas y más de 2,500 víctimas en 120 países. El 19 de febrero de 2024, la Operación Cronos coordinada por Europol y el FBI desmanteló la infraestructura de LockBit, el grupo de ransomware que acumuló más de 120 millones de euros en daños documentados y que entre 2022 y 2024 fue responsable del 44% de todos los incidentes de ransomware a nivel global, según el informe de Chainalysis Crypto Crime Report 2024. En España, INCIBE registró que LockBit estuvo detrás de aproximadamente un tercio de los ataques ransomware reportados durante ese periodo, afectando desde pymes industriales hasta despachos profesionales.

Definición técnica

LockBit es una familia de ransomware operada bajo el modelo RaaS (Ransomware-as-a-Service), en el que un grupo central de desarrolladores mantiene el malware, la infraestructura de command and control (C2) y el sitio de filtración de datos en la dark web, mientras afiliados independientes ejecutan los ataques a cambio de un porcentaje del rescate (habitualmente 75-80% para el afiliado).

Evolución de versiones

LockBit 1.0 / Red (septiembre 2019):

• Primera versión, originalmente llamada “ABCD ransomware”
• Cifrado relativamente lento, propagación manual
• Extensión archivos cifrados: .abcd

LockBit 2.0 (junio 2021):

• Autopropagación vía Active Directory Group Policy
• Cifrado acelerado: 373 MB/segundo (el más rápido de su generación)
• Implementación StealBit para exfiltración automática de datos
• Extensión: .lockbit

LockBit 3.0 / Black (junio 2022):

• Código basado parcialmente en BlackMatter ransomware
• Anti-análisis avanzado: protección con contraseña del payload
• Programa bug bounty propio (recompensas por vulnerabilidades del malware)
• Extensión: variable (cadena aleatoria)

LockBit Green (enero 2023):

• Basado en código filtrado de Conti ransomware
• Orientado a servidores VMware ESXi y entornos cloud
• Cifrado de máquinas virtuales completas

Modelo de doble y triple extorsión

Nivel 1 - Cifrado:
  Archivos cifrados → exigen pago para descifrar

Nivel 2 - Filtración (doble extorsión):
  Datos exfiltrados ANTES de cifrar
  → Si víctima no paga, publican datos en sitio Tor

Nivel 3 - Presión adicional (triple extorsión):
  → Ataques DDoS contra víctima
  → Contacto directo a clientes/socios amenazando publicar sus datos
  → Denuncia a reguladores (AEPD en España) para forzar pago

Cómo funciona LockBit: anatomía de un ataque

Fase 1: Acceso inicial

Vectores de entrada más frecuentes:

• RDP expuesto (Remote Desktop Protocol): 47% de accesos iniciales, credenciales obtenidas por fuerza bruta o compradas en mercados dark web
• Phishing dirigido: Emails con adjuntos maliciosos (macros Office, archivos ISO/LNK)
• Explotación de vulnerabilidades: Fortinet (CVE-2018-13379), Citrix (CVE-2019-19781), Microsoft Exchange (ProxyShell, ProxyLogon)
• Acceso comprado: Initial Access Brokers (IABs) venden accesos VPN/RDP comprometidos por €500-€5,000

Fase 2: Movimiento lateral y persistencia

Post-acceso inicial (T+0 a T+72h):

1. Reconocimiento interno:
   - Enumeración Active Directory (BloodHound, ADRecon)
   - Identificación Domain Controllers, servidores críticos
   - Mapeo red interna y segmentos

2. Escalada privilegios:
   - Mimikatz: extracción credenciales memoria (LSASS)
   - Kerberoasting: obtener hashes cuentas servicio
   - Objetivo: Domain Admin

3. Persistencia:
   - Creación cuentas administrador locales
   - Cobalt Strike beacons (comunicación C2)
   - Scheduled tasks para reconexión

4. Desactivación defensas:
   - Detener servicios antivirus (GMER, Process Hacker)
   - Borrar Volume Shadow Copies (vssadmin delete shadows)
   - Desactivar Windows Defender vía GPO

Fase 3: Exfiltración de datos

Antes de cifrar, LockBit utiliza la herramienta StealBit o alternativas como Rclone y MegaSync para exfiltrar datos sensibles al servidor del atacante. Volumen típico exfiltrado: 50-500 GB en 24-72 horas.

Fase 4: Cifrado

Algoritmos: AES-256-CBC para cifrado de archivos + RSA-2048 para proteger la clave AES. Cada víctima recibe un par de claves único, lo que imposibilita el descifrado cruzado entre víctimas.

Velocidad de cifrado: LockBit 2.0 cifraba a 373 MB/s, cifrado parcial de archivos grandes (solo primeros 4 KB de archivos mayores de 1 MB) para maximizar velocidad e impacto operativo.

Fase 5: Nota de rescate y negociación

Archivo: [ID-víctima].README.txt (depositado en cada carpeta cifrada)

Contenido típico:
  "All your important files are encrypted!
   Any attempts to restore files with third-party software
   will be fatal for your files!

   To decrypt your data, you need to pay.
   Contact us at: http://lockbitapt[...]onion/[ID-víctima]

   WARNING: Do not rename encrypted files.
   WARNING: Do not try to decrypt using third-party software.
   WARNING: Do not contact law enforcement."

Negociación:
  → Víctima accede vía Tor browser
  → Chat con operador LockBit
  → Rescate típico: €50,000 - €2,000,000 (según tamaño empresa)
  → Plazo: 72 horas antes de publicar datos en sitio filtración

Indicadores de compromiso (IoC)

Extensiones de archivos cifrados

• LockBit 2.0: .lockbit
• LockBit 3.0: extensión aleatoria de 9 caracteres (ej: .HLJkNskOq)
• Nota de rescate: [ID-víctima].README.txt o Restore-My-Files.txt

TTPs según MITRE ATT&CK

Indicadores de red

• Comunicaciones Cobalt Strike: puertos 443/80 con beaconing periódico (60-120 segundos)
• Conexiones salientes masivas a servicios cloud (Mega.nz, transferencias grandes)
• Tráfico DNS anómalo (resolución dominios C2)

Operación Cronos: el desmantelamiento

El 19 de febrero de 2024, una operación conjunta de 10 países coordinada por Europol y liderada por la National Crime Agency (NCA) del Reino Unido ejecutó la mayor acción contra un grupo ransomware en la historia.

Resultados de la operación:

• 34 servidores incautados en Países Bajos, Alemania, Finlandia, Francia, Suiza, Australia, EE.UU. y Reino Unido
• 200+ cuentas de criptomonedas congeladas
• 2 arrestos (Polonia y Ucrania), 3 órdenes internacionales de arresto
• 1,000+ claves de descifrado recuperadas y compartidas con víctimas vía portal “No More Ransom”
• Panel de afiliados infiltrado y reemplazado con página de las fuerzas de seguridad

El intento de regreso de LockBit:

Una semana después de la operación, LockBit publicó un nuevo sitio Tor y afirmó estar operativo. Sin embargo, la credibilidad del grupo quedó severamente dañada. Según datos de Recorded Future, la actividad de LockBit descendió un 73% en los seis meses posteriores a Cronos. El líder del grupo, identificado como Dmitry Khoroshev (alias “LockBitSupp”), fue sancionado y sujeto a una recompensa de $10 millones por el Departamento de Estado de EE.UU. en mayo de 2024.

Análisis forense de un ataque LockBit

Herramientas:
  - FTK Imager (Exterro): volcado RAM completo
  - WinPmem: herramienta open source volcado memoria
  - Magnet RAM Capture: alternativa comercial

Prioridad: ALTA (evidencia se pierde al apagar equipo)
Tiempo máximo: 30-60 minutos post-detección

Proceso:
  1. Conectar disco a bloqueador de escritura hardware
  2. Imagen forense con dd o FTK Imager (formato E01)
  3. Calcular hash SHA-256 del original y la imagen
  4. Verificar coincidencia hashes
  5. Documentar: número serie disco, fecha, hora, testigos

Fuentes críticas:
  - Windows Event Viewer:
    • Security (4624/4625): logins exitosos/fallidos
    • System (7045): instalación servicios nuevos
    • PowerShell (4104): scripts ejecutados
  - Sysmon (si instalado):
    • Event 1: creación procesos
    • Event 3: conexiones de red
    • Event 11: creación archivos
  - Logs antivirus: detecciones previas ignoradas
  - Logs firewall: conexiones salientes anómalas

Caso práctico España: PYME atacada por LockBit

Nota: El siguiente caso es un escenario compuesto basado en múltiples investigaciones forenses reales realizadas en España durante 2024-2025. Los datos específicos (nombre empresa, cantidades exactas, localización) han sido anonimizados para proteger la confidencialidad de los afectados, preservando los aspectos técnicos relevantes para fines educativos.

Contexto: Empresa industrial, 85 empleados, facturación €12M/año.

Timeline del incidente:

Viernes 22:15 - Acceso inicial
  → Afiliado LockBit accede vía RDP expuesto (puerto 3389)
  → Credenciales compradas en Genesis Market: admin/Welcome2024!

Sábado 02:00 - Movimiento lateral
  → Mimikatz extrae credenciales Domain Admin
  → Cobalt Strike beacon instalado en Domain Controller
  → Desactivación Windows Defender vía GPO

Sábado 08:00-14:00 - Exfiltración
  → StealBit exfiltra 180 GB: contratos, nóminas, datos clientes
  → Destino: servidor Mega.nz controlado por atacante

Sábado 15:30 - Cifrado
  → LockBit 3.0 ejecutado vía PsExec en 47 equipos simultáneamente
  → 2.3 TB cifrados en 23 minutos
  → Backups en NAS local también cifrados (conectado a red)

Lunes 07:00 - Descubrimiento
  → Empleados encuentran nota rescate en pantallas
  → Rescate exigido: 15 BTC (aprox. €420,000)
  → Plazo: 72 horas antes de publicar datos

Respuesta forense:

Lunes 08:30 - Perito forense contactado
  → Aislamiento inmediato de red (desconexión switches)
  → Captura RAM de 5 equipos clave (DC, servidor archivos, 3 workstations)

Lunes 10:00 - Preservación evidencia
  → Imágenes forenses E01 de 12 discos
  → Cadena custodia documentada con acta notarial
  → Hashes SHA-256 verificados

Lunes 14:00 - Notificaciones
  → Denuncia Policía Nacional (Brigada Tecnológica)
  → Notificación INCIBE-CERT (canal prioritario empresas)
  → Notificación AEPD (brecha datos personales, Art. 33 RGPD)

Martes-Jueves - Análisis forense
  → Timeline completo reconstruido (acceso → cifrado)
  → Muestra malware identificada: LockBit 3.0 Black
  → IoC compartidos con INCIBE para alertar otras empresas
  → Vector entrada confirmado: RDP sin MFA

Viernes - Informe pericial
  → Informe 45 páginas entregado a abogados y aseguradora
  → Restauración desde backup offline (cinta magnética semanal)
  → Datos exfiltrados: notificación individual a 3,200 clientes

Resultado: La empresa NO pagó el rescate. Restauró operaciones en 6 días laborables desde backups offline. El informe pericial fue clave para la reclamación al seguro de ciberriesgos (cobertura €250,000) y para la denuncia penal.

Marco legal en España

Código Penal

Art. 264 CP - Daños informáticos:

“El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años.”

Aplicación a LockBit: el cifrado de archivos constituye “hacer inaccesibles datos informáticos”. Agravante si afecta infraestructura crítica o daños superan €80,000.

Art. 264 bis CP - Obstaculización de sistemas:

“Será castigado […] el que, sin estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno.”

Pena: 6 meses a 3 años (tipo básico), hasta 5 años si afecta servicios públicos esenciales.

Art. 264 ter CP - Facilitación de medios: Castiga a quien facilite herramientas o programas diseñados para cometer los delitos anteriores, aplicable al modelo RaaS (desarrolladores que proporcionan el ransomware a afiliados).

Obligaciones de notificación

• INCIBE-CERT: Notificación recomendada para empresas privadas; obligatoria para operadores de servicios esenciales (Directiva NIS2, transpuesta en España)
• AEPD: Notificación en 72 horas si hay brecha de datos personales (Art. 33 RGPD)
• CCN-CERT: Obligatorio para administraciones públicas y empresas del sector público

Sobre el pago del rescate

En España, pagar un rescate de ransomware no es ilegal per se, pero implica riesgos legales: puede constituir financiación de organizaciones criminales si el grupo está sancionado internacionalmente (como LockBit desde mayo 2024). Además, no garantiza la recuperación de datos y, según datos del sector, el 20% de víctimas que pagan no reciben clave funcional.

FAQ

P: ¿Se pueden recuperar los datos cifrados por LockBit sin pagar? R: Depende de la versión. Tras la Operación Cronos (febrero 2024), se recuperaron claves de descifrado para miles de víctimas, disponibles en nomoreransom.org. Para ataques recientes con LockBit 3.0, el descifrado sin clave es técnicamente inviable. La mejor defensa es disponer de backups offline actualizados.

P: ¿Cuánto tarda el análisis forense de un ataque LockBit? R: Un análisis forense completo requiere entre 5 y 15 días laborables, dependiendo del número de equipos afectados y el volumen de logs disponibles. La captura de evidencia volátil debe realizarse en las primeras 2-4 horas.

P: ¿Es legal pagar el rescate de ransomware en España? R: No existe prohibición expresa, pero desde mayo de 2024 LockBit está sancionado por EE.UU., Reino Unido y la UE, lo que complica legalmente cualquier pago. Además, pagar no garantiza recuperación y puede incentivar futuros ataques. Las autoridades (INCIBE, Europol) desaconsejan el pago de forma sistemática.

P: ¿Cómo saber si mi empresa ha sido atacada por LockBit específicamente? R: Por la nota de rescate (formato característico con ID único), la extensión de archivos cifrados (.lockbit en v2.0, aleatoria en v3.0) y los IoC del malware. Un perito forense puede confirmar la atribución mediante análisis del binario y correlación con inteligencia de amenazas.

P: ¿El seguro de ciberriesgos cubre ataques de ransomware? R: La mayoría de pólizas de ciberriesgos en España cubren gastos de respuesta a incidentes (análisis forense, notificación a afectados, restauración de sistemas), pero muchas excluyen el pago del rescate. El informe pericial forense es imprescindible para la reclamación al seguro.

Referencias y Fuentes

1. Europol. (2024). “LockBit Ransomware Disrupted by International Law Enforcement Operation”. europol.europa.eu

   • Operación Cronos: 34 servidores incautados, 10 países, 200+ wallets congeladas

2. National Crime Agency (NCA). (2024). “International investigation disrupts the world’s most harmful cyber crime group”. nationalcrimeagency.gov.uk

   • Detalles operativos del desmantelamiento liderado por NCA Reino Unido

3. CISA (Cybersecurity and Infrastructure Security Agency). (2023). “Understanding Ransomware Threat Actors: LockBit”. Joint Cybersecurity Advisory AA23-165A. cisa.gov

   • Advisory técnico conjunto CISA/FBI/MS-ISAC con TTPs detallados y mitigaciones

4. Chainalysis. (2024). “2024 Crypto Crime Report - Ransomware”. chainalysis.com

   • LockBit como grupo con mayor volumen de pagos recibidos en 2022-2023

5. INCIBE. (2024-2025). “Avisos de seguridad - Ransomware”. incibe.es

   • Alertas y estadísticas de ransomware en tejido empresarial español

6. U.S. Department of Justice. (2024). “U.S. and U.K. Disrupt LockBit Ransomware Variant”. justice.gov

   • Cargos federales contra Dmitry Yuryevich Khoroshev (LockBitSupp)

7. Recorded Future. (2024). “LockBit’s Attempted Comeback After Operation Cronos”. recordedfuture.com

   • Análisis del descenso del 73% en actividad post-Operación Cronos

8. MITRE ATT&CK. (2024). “LockBit - Software S0832”. attack.mitre.org

   • Mapeo completo de técnicas, tácticas y procedimientos de LockBit

9. No More Ransom Project. (2024). “Decryption Tools - LockBit”. nomoreransom.org

   • Herramientas de descifrado gratuitas facilitadas por Operación Cronos

10. U.S. Department of State. (2024). “Reward for Information: Dmitry Yuryevich Khoroshev”. rewardsforjustice.net

    • Recompensa $10M por información sobre el líder de LockBit

11. Agencia Española de Protección de Datos (AEPD). (2024). “Guía para la gestión y notificación de brechas de seguridad”. aepd.es

    • Obligaciones notificación Art. 33 RGPD aplicables a incidentes ransomware

12. CCN-CERT. (2024). “Informe de Amenazas - Ransomware”. ccn-cert.cni.es

    • Análisis de amenazas ransomware dirigidas al sector público español

Última actualización: 10 Febrero 2026 Categoría: Seguridad (SEG-015) Nivel técnico: Avanzado Relevancia forense: MUY ALTA (principal amenaza ransomware 2022-2024)