¿Cuánto tiempo tiene un equipo SOC para contener LockBit antes del cifrado?

Depende del ataque. En este caso, el atacante tuvo acceso durante 6 días antes de activar el cifrado. La fase de reconocimiento y movimiento lateral suele durar entre 3 y 14 días. Una vez que se activa el cifrado, el proceso completo tarda entre 30 minutos y 4 horas dependiendo del volumen de datos. La detección temprana de movimiento lateral es la clave para prevenir el cifrado.

¿Debo pagar el rescate de LockBit?

La recomendación de INCIBE, FBI, Europol y la mayoría de organizaciones de seguridad es no pagar. Pagar financia operaciones criminales, no garantiza la recuperación de datos (algunos grupos no proporcionan descifrador funcional), y marca a la organización como objetivo para futuros ataques. La inversión en backups offline, segmentación de red y detección temprana es más rentable que cualquier rescate.

¿Qué obligaciones legales tengo tras un ataque de ransomware con exfiltración?

En la UE, bajo RGPD, si hay exfiltración de datos personales debes notificar a la autoridad de protección de datos (AEPD en España) en menos de 72 horas y a los afectados si el riesgo es alto. Bajo NIS2, las entidades esenciales deben notificar al CSIRT de referencia en menos de 24 horas (alerta temprana) y proporcionar informe completo en 72 horas. Bajo ENS, la notificación al CCN-CERT es obligatoria para administraciones públicas.

¿Cómo identifico qué datos fueron exfiltrados por LockBit?

Revisa los logs del proxy/firewall para conexiones salientes anómalas (volumen alto, horarios inusuales, destinos desconocidos). LockBit usa herramientas como rclone, MegaSync o WinSCP para exfiltrar. Busca ejecución de estas herramientas en logs EDR. El sitio de filtraciones de LockBit en la dark web también puede confirmar qué datos se publicaron, aunque no siempre listan todo.

AvanzadoLockBitransomwareincident responseforensemovimiento lateralMITRE ATT&CKcontención

LockBit 3.0: Incident Response Completo de Principio a Fin

Caso completo de respuesta a incidente LockBit 3.0: desde la alerta EDR inicial hasta la recuperación. Contención, investigación forense, timeline de movimiento lateral, cifrado, exfiltración, comunicación con stakeholders, IOCs y post-mortem detallado.

MalwareIntel Research·6 de junio de 2026·13 min lectura

Serie: Casos de Uso — Parte 3

Día 0 (Martes 09:47): La alerta EDR

El sistema EDR genera una alerta de severidad crítica en el servidor de archivos principal (FS-CORP-01, Windows Server 2022):

ALERT: Suspicious Process - PsExec execution from non-admin workstation
Host: FS-CORP-01
Source: WS-ADMIN-042 (10.10.5[.]42)
Process: C:\Windows\Temp\psexesvc.exe
User: EMPRESA\svc_backup
Time: 09:47:22 UTC

Paralelamente, el SIEM correlaciona dos eventos adicionales:

Login anómalo: La cuenta svc_backup se autentica desde WS-ADMIN-042 a las 09:45. Esta cuenta de servicio nunca ha iniciado sesión desde una workstation.
Escaneo de puertos: WS-ADMIN-042 realiza conexiones SMB (445/TCP) a 47 hosts internos en menos de 2 minutos.

El analista SOC N2 clasifica el incidente como Severidad 1: Compromiso activo con movimiento lateral.

Contención inmediata (T+0 a T+30 minutos)

Decisiones de contención

El equipo de respuesta a incidentes (IR) ejecuta las siguientes acciones en paralelo:

Red:

Aislamiento de WS-ADMIN-042 y FS-CORP-01 via política EDR (quarantine mode: permite comunicación con consola EDR, bloquea todo lo demás).
Bloqueo de la cuenta svc_backup en Active Directory.
Segmentación de emergencia: separar el segmento de servidores de archivos (VLAN 50) del resto de la red.

Endpoints:

Captura de memoria de ambos sistemas (WS-ADMIN-042 y FS-CORP-01) con WinPmem antes de cualquier otra acción.
Snapshot del disco de WS-ADMIN-042 para análisis forense.
Deshabilitar el servicio PsExec en FS-CORP-01.

Comunicación:

Notificación al CISO y al equipo legal.
Activación del plan de respuesta a incidentes (IRP-RANSOMWARE-001).
Canal de comunicación dedicado (Teams, no email corporativo, para evitar que el atacante monitorice las comunicaciones si tiene acceso al servidor de correo).

Preservación de evidencia forense

Evidencia recopilada (cadena de custodia):
├── WS-ADMIN-042_memory.raw     (32 GB, SHA256: f1a2b3...)
├── WS-ADMIN-042_disk.E01       (256 GB, SHA256: a4b5c6...)
├── FS-CORP-01_memory.raw       (64 GB, SHA256: d7e8f9...)
├── Logs_EDR_2026-05-27_06-03.json
├── Logs_SIEM_2026-05-27_06-03.json
├── AD_audit_logs_2026-05-27_06-03.evtx
├── Firewall_logs_2026-05-27_06-03.csv
└── Proxy_logs_2026-05-27_06-03.csv

Investigación forense (T+30 minutos a T+8 horas)

Reconstrucción de la timeline

El análisis forense revela que el atacante tuvo acceso a la red durante 6 días antes de la activación del incidente. La timeline completa:

Día -6 (Miércoles): Acceso inicial

14:22 UTC — Email de phishing a usuario de IT (thread hijacking, adjunto Excel)
14:25 UTC — Usuario abre el Excel, macro descarga Cobalt Strike beacon
14:26 UTC — Beacon establece C2 con 185.220.101[.]47:443
14:30 UTC — Beacon ejecuta whoami, ipconfig, net group "Domain Admins"

El acceso inicial fue un email de spearphishing dirigido a un administrador de IT. El adjunto descargó un beacon Cobalt Strike que proporcionó acceso remoto persistente.

Día -5 (Jueves): Reconocimiento

08:15 UTC — Beacon descarga ADFind.exe a C:\ProgramData\
08:16 UTC — ADFind enumera: Domain Admins, Domain Controllers, servidores
08:20 UTC — Beacon ejecuta: nltest /dclist: (lista de DCs)
08:25 UTC — Beacon descarga SharpHound.exe (BloodHound collector)
08:27 UTC — SharpHound genera grafo de Active Directory completo
08:35 UTC — Datos exfiltrados via beacon al C2

Herramientas de reconocimiento detectadas post-facto:

Herramienta	Path	Propósito
ADFind.exe	C:\ProgramData\	Enumeración de Active Directory
SharpHound.exe	C:\ProgramData\	Collector de BloodHound para mapeo de paths
netscan.exe	C:\Users\Public\	Escaneo de red (SoftPerfect)

Día -4 (Viernes): Escalada de privilegios

09:10 UTC — Beacon ejecuta Mimikatz en memoria (sekurlsa::logonpasswords)
09:11 UTC — Credenciales obtenidas: svc_backup (Domain Admin), admin_sql
09:15 UTC — Beacon prueba credenciales con PsExec a DC-CORP-01
09:16 UTC — Acceso confirmado a Domain Controller con svc_backup

La cuenta svc_backup tenía privilegios de Domain Admin. Su contraseña no se había rotado en 14 meses y no tenía MFA.

Día -3 y -2 (Fin de semana): Movimiento lateral silencioso

Sábado 02:30 UTC — PsExec a 5 servidores de archivos (FS-CORP-01 a 05)
Sábado 02:45 UTC — Instalación de beacon secundario en cada servidor
Sábado 03:00 UTC — Deshabilitación de Windows Defender via GPO modificada
Domingo 01:00 UTC — Descarga de rclone.exe en FS-CORP-01
Domingo 01:15 UTC — Inicio de exfiltración a storage externo (Mega.nz)

El atacante eligió el fin de semana deliberadamente: menor monitorización del SOC, tráfico de red inusual menos visible, y más tiempo para exfiltrar datos.

Día -1 (Lunes): Exfiltración masiva

00:00-06:00 UTC — Exfiltración continua via rclone a Mega.nz
                   Volumen: ~340 GB (Finanzas, RRHH, Legal, Contratos)
06:15 UTC       — rclone finaliza, atacante elimina el binario
06:20 UTC       — Atacante sube LockBit 3.0 builder + encryptor a FS-CORP-01

Tráfico de exfiltración detectado retrospectivamente en logs del proxy:

Destino: g.api.mega.co[.]nz
Volumen: 340 GB en 6 horas (~15 MB/s sostenido)
User-Agent: rclone/v1.62.2
Certificado: CN=*.mega.co.nz

Día 0 (Martes): Activación del cifrado

09:40 UTC — Atacante despliega LockBit 3.0 via PsExec a todos los servidores
09:42 UTC — LockBit desactiva Volume Shadow Copy (vssadmin delete shadows)
09:43 UTC — LockBit termina procesos: sql*, oracle*, backup*, veeam*
09:44 UTC — LockBit modifica GPO para propagar a endpoints
09:45 UTC — Inicio del cifrado: extensión .lockbit3 en archivos
09:47 UTC — ALERTA EDR (nuestro punto de entrada)
09:55 UTC — Nota de rescate en cada directorio cifrado

Análisis de las credenciales comprometidas

Cuentas comprometidas (confirmadas):
├── svc_backup    — Domain Admin, sin MFA, password de 14 meses
├── admin_sql     — SQL Admin, mismo password en 3 servidores
├── admin_local   — Admin local en workstations (mismo password vía GPP)
└── usuario_it    — Cuenta del phishing inicial, admin local

Herramientas del atacante

Herramienta	Hash (SHA256)	Uso
Cobalt Strike beacon	`d8e9f0a1b2c3d4e5f6a7b8c9d0e1f2a3b4c5d6e7f8a9b0c1d2e3f4a5b6c7d8e9`	C2 y acceso remoto
ADFind.exe	`a1b2c3d4e5f6a7b8c9d0e1f2a3b4c5d6e7f8a9b0c1d2e3f4a5b6c7d8e9f0a1b2`	Reconocimiento AD
SharpHound.exe	`b3c4d5e6f7a8b9c0d1e2f3a4b5c6d7e8f9a0b1c2d3e4f5a6b7c8d9e0f1a2b3c4`	BloodHound collector
Mimikatz (en memoria)	N/A (reflective loading)	Credential dumping
PsExec.exe	`c4d5e6f7a8b9c0d1e2f3a4b5c6d7e8f9a0b1c2d3e4f5a6b7c8d9e0f1a2b3c4d5`	Movimiento lateral
rclone.exe	`d5e6f7a8b9c0d1e2f3a4b5c6d7e8f9a0b1c2d3e4f5a6b7c8d9e0f1a2b3c4d5e6`	Exfiltración a Mega.nz
LockBit 3.0 encryptor	`e6f7a8b9c0d1e2f3a4b5c6d7e8f9a0b1c2d3e4f5a6b7c8d9e0f1a2b3c4d5e6f7`	Cifrado de archivos

Cifrado y exfiltración: qué se perdió

Alcance del cifrado

Servidores cifrados:        5 de 12 servidores de archivos
Volumen cifrado:            ~2.1 TB
Extensión:                  .lockbit3
Directorios afectados:      Finanzas, RRHH, Legal, Proyectos, Compartido
Directorios no afectados:   IT (aislado a tiempo), Producción (red segmentada)
Backups:                    Último backup offline: 48 horas antes del cifrado
                            Backup online (Veeam): eliminado por el atacante

Nota de rescate

~~~ LockBit 3.0 ~~~
All your files are encrypted!
Your data has been stolen and will be published on our blog.

To decrypt your files, contact us:
Tor: hxxp://lockbit3xxxxx[...]onion/
ID: LB3-EMPRESA-20260603-A7B3C

Ransom: 2.5 BTC (~175,000 EUR)
Deadline: 7 days
After deadline: data published + price doubles

Datos exfiltrados

El análisis de los logs del proxy confirma la exfiltración de 340 GB:

Categoría	Volumen estimado	Sensibilidad
Finanzas (estados, auditorías)	~80 GB	Alta
RRHH (nóminas, contratos empleados)	~45 GB	Crítica (PII)
Legal (contratos clientes)	~60 GB	Alta
Proyectos (documentación técnica)	~120 GB	Media
Compartido (varios)	~35 GB	Variable

Recovery

Estrategia de recuperación

Fase 1 (Día 0-1): Contención total + preservación forense
Fase 2 (Día 1-3): Reconstrucción de infraestructura limpia
  - Rebuild de Domain Controllers desde imagen gold
  - Reset de TODAS las contraseñas de AD (KRBTGT x2)
  - Nuevo par de claves KRBTGT (eliminar Golden Ticket)
Fase 3 (Día 3-5): Restauración de datos
  - Restauración desde backup offline (48h de pérdida aceptable)
  - Verificación de integridad de cada volumen restaurado
Fase 4 (Día 5-7): Hardening y vuelta a producción
  - MFA en todas las cuentas privilegiadas
  - Segmentación de red (servidores de archivos en VLAN dedicada)
  - EDR con reglas de detección específicas para las TTPs observadas

Reset de KRBTGT

Paso crítico: el atacante obtuvo un Ticket Granting Ticket (TGT) con Mimikatz. Para invalidar tickets Kerberos comprometidos:

# Reset KRBTGT (ejecutar dos veces con 12 horas de separación)
# Primera rotación
Reset-KrbtgtKeyInteractive -DomainController DC-CORP-01

# Esperar 12 horas (permitir replicación y renovación de tickets)

# Segunda rotación
Reset-KrbtgtKeyInteractive -DomainController DC-CORP-01

Datos no recuperables

Pérdida de datos: 48 horas de trabajo (último backup offline)
Emails: No afectados (Exchange Online, no on-premise)
Bases de datos: SQL Server en segmento separado, no comprometido
Código fuente: Git remoto (GitHub), no afectado

Comunicación y notificación

Timeline de comunicaciones

Hora (UTC)	Destinatario	Canal	Contenido
10:00	CISO	Teams	Incidente activo, contención en curso
10:30	Comité de crisis	Reunión presencial	Situación, impacto, plan de acción
11:00	Equipo legal	Teams	Obligaciones RGPD/NIS2, preparar notificaciones
14:00	AEPD	Formulario web	Notificación preliminar brecha datos personales (RRHH)
14:30	INCIBE-CERT	Email cifrado	Notificación de incidente (entidad privada esencial)
15:00	Empleados	Intranet	Comunicado: indisponibilidad temporal servidores de archivos
16:00	Clientes afectados	Email (desde cuenta limpia)	Notificación preliminar posible exposición de contratos
Día +3	AEPD	Formulario web	Informe detallado con alcance confirmado
Día +7	Aseguradora cyber	Informe formal	Reclamación de póliza con documentación forense

Decisión sobre el rescate

El comité de crisis decide no pagar el rescate por las siguientes razones:

Backups offline disponibles (48h de pérdida aceptable).
No hay garantía de que el descifrador funcione ni de que los datos no se publiquen igualmente.
Pagar financia operaciones criminales y marca a la empresa como objetivo futuro.
La aseguradora cubre costes de recuperación, no el rescate.

Timeline completa del incidente

Día -6  14:22  Phishing → Cobalt Strike beacon
Día -5  08:15  Reconocimiento AD (ADFind, SharpHound)
Día -4  09:10  Escalada: Mimikatz → svc_backup (Domain Admin)
Día -3  02:30  Movimiento lateral: PsExec a 5 servidores
Día -2  01:00  Exfiltración preparada (rclone descargado)
Día -1  00:00  Exfiltración: 340 GB a Mega.nz (6 horas)
Día  0  09:40  LockBit 3.0 desplegado
Día  0  09:47  ALERTA EDR → Contención inmediata
Día  0  10:00  Incidente declarado, comité de crisis activado
Día  0  14:00  Notificación AEPD + INCIBE-CERT
Día  1  08:00  Inicio rebuild infraestructura
Día  3  08:00  Inicio restauración desde backup offline
Día  5  18:00  Servidores restaurados, hardening completado
Día  7  08:00  Vuelta a producción con monitorización reforzada

IOCs

Red

Tipo	Valor	Contexto
IPv4	`185.220.101[.]47`	C2 Cobalt Strike
IPv4	`91.243.44[.]198`	Servidor de staging (herramientas atacante)
Domain	`g.api.mega.co[.]nz`	Destino exfiltración (servicio legítimo abusado)
URL	`hxxps://185.220.101[.]47:443/api/v1/push`	URI del beacon C2

Host

Tipo	Valor	Contexto
SHA256 (beacon)	`d8e9f0a1b2c3d4e5f6a7b8c9d0e1f2a3b4c5d6e7f8a9b0c1d2e3f4a5b6c7d8e9`	Cobalt Strike beacon
SHA256 (encryptor)	`e6f7a8b9c0d1e2f3a4b5c6d7e8f9a0b1c2d3e4f5a6b7c8d9e0f1a2b3c4d5e6f7`	LockBit 3.0 encryptor
SHA256 (rclone)	`d5e6f7a8b9c0d1e2f3a4b5c6d7e8f9a0b1c2d3e4f5a6b7c8d9e0f1a2b3c4d5e6`	rclone para exfiltración
File	`C:\ProgramData\ADFind.exe`	Herramienta de reconocimiento
File	`C:\ProgramData\SharpHound.exe`	BloodHound collector
File	`C:\Users\Public\netscan.exe`	Escáner de red
Registry	GPO modificada: deshabilitar Defender	Defense evasion
Extension	`.lockbit3`	Extensión de archivos cifrados

Mapeo MITRE ATT&CK

ID	Técnica	Táctica	Evidencia
T1566.001	Spearphishing Attachment	Initial Access	Email phishing con Excel malicioso
T1059.001	PowerShell	Execution	Download cradle del beacon
T1053.005	Scheduled Task	Execution	LockBit propagado via GPO
T1003.001	LSASS Memory	Credential Access	Mimikatz sekurlsa::logonpasswords
T1087.002	Domain Account Discovery	Discovery	ADFind enumera Domain Admins
T1018	Remote System Discovery	Discovery	Escaneo SMB a 47 hosts
T1021.002	SMB/Windows Admin Shares	Lateral Movement	PsExec a servidores de archivos
T1484.001	Group Policy Modification	Defense Evasion	GPO para deshabilitar Defender
T1562.001	Disable Security Tools	Defense Evasion	Defender deshabilitado via GPO
T1486	Data Encrypted for Impact	Impact	LockBit 3.0 cifrado de archivos
T1490	Inhibit System Recovery	Impact	vssadmin delete shadows
T1567.002	Exfiltration to Cloud Storage	Exfiltration	rclone a Mega.nz (340 GB)
T1489	Service Stop	Impact	Terminación de procesos SQL, backup

Post-mortem

Causa raíz

La causa raíz fue la combinación de tres factores:

Phishing exitoso: Un administrador de IT abrió un adjunto malicioso. La concienciación sobre phishing no cubría thread hijacking.
Cuenta de servicio con privilegios excesivos: svc_backup era Domain Admin sin necesidad operativa. Violación del principio de menor privilegio.
Sin MFA en cuentas privilegiadas: Ninguna cuenta de Domain Admin tenía MFA habilitado para acceso interactivo.

Acciones correctivas implementadas

Acción	Prioridad	Estado	Responsable
MFA obligatorio en todas las cuentas privilegiadas	Crítica	Completado Día +3	IT Security
Rotación de contraseñas de cuentas de servicio (90 días)	Crítica	Completado Día +5	IT Ops
Segmentación de red: servidores en VLAN dedicada	Alta	Completado Día +7	Networking
Backup offline inmutable (3-2-1 con air gap)	Alta	Completado Día +14	IT Ops
Reglas EDR para detección de ADFind, SharpHound, PsExec	Alta	Completado Día +2	SOC
Bloqueo de rclone, MegaSync en proxy	Alta	Completado Día +1	SOC
Programa de concienciación actualizado (thread hijacking)	Media	Completado Día +30	RRHH/Security
Revisión de GPO: alertar cambios no autorizados	Media	Completado Día +14	IT Security
Reducción de privilegios de cuentas de servicio	Alta	Completado Día +10	IT Security
Simulacro de IR trimestral	Media	Planificado	CISO

Métricas del incidente

Tiempo de detección (dwell time):     6 días
Tiempo de contención:                 30 minutos (desde alerta)
Tiempo de erradicación:               5 días
Tiempo de recuperación total:         7 días
Pérdida de datos:                     48 horas de trabajo
Datos exfiltrados:                    ~340 GB
Coste estimado del incidente:         ~420,000 EUR
  - Recuperación y hardening:         ~180,000 EUR
  - Horas de trabajo IR:              ~85,000 EUR
  - Notificaciones legales:           ~25,000 EUR
  - Pérdida de productividad:         ~130,000 EUR
Rescate solicitado:                   2.5 BTC (~175,000 EUR)
Rescate pagado:                       0 EUR

Lecciones clave

El dwell time fue la ventaja del atacante: 6 días sin detección permitieron reconocimiento completo, escalada, movimiento lateral y exfiltración antes del cifrado. La detección de ADFind o SharpHound en día -5 habría cambiado el resultado.
Los backups offline salvaron la operación: Sin el backup offline de 48 horas, la única opción habría sido pagar el rescate o perder todos los datos.
La segmentación de red limitó el daño: Los servidores de bases de datos y producción estaban en segmentos separados. Sin esa segmentación, el cifrado habría afectado a toda la infraestructura.
La comunicación fue tan importante como la técnica: Notificaciones a tiempo a AEPD, INCIBE-CERT, empleados y clientes. La transparencia redujo el impacto reputacional.

Este caso de estudio es ficticio pero está basado en patrones reales observados en incidentes de LockBit 3.0. Las técnicas, herramientas y procedimientos de respuesta son aplicables a incidentes de ransomware reales. Los IOCs son ficticios.

Preguntas frecuentes

Libros recomendados

Incident Response & Computer Forensics

Amazon (enlace afiliado)

Blue Team Handbook: Incident Response Edition