NUEVO RANSOMWARE LOCKBIT 5.0

LockBit, pese a haber sido desmantelado en 2024 durante la Operación Cronos, volvió a aparecer con fuerza: en septiembre de 2025 se detectó LockBit 5.0, una versión renovada, más agresiva y con capacidades ampliadas. Un informe del Health-ISAC alertó sobre su actividad y su especial enfoque en el sector de la salud. Esta variante plantea nuevas preguntas sobre sus características, su mayor peligrosidad, la rapidez con la que se distribuye y sus objetivos principales, temas que se analizan en detalle a continuación.

Qué lo vuelve tan peligroso?
En septiembre de 2025 tuvo lugar el sexto aniversario del surgimiento del ransomware LockBit y los cibercriminales detrás de él lo “celebraron” con el lanzamiento de una nueva variante, mejorada y más agresiva. Algunas de las características mejoradas en esta nueva versión son:

Multiplataforma
LockBit 5.0 incluye algunas mejoras. Una de ellas es la capacidad de atacar de igual manera a Windows, Linux y VMware ESXi. Un salto en su capacidad de atacar entornos virtualizados completos.

• Por ejemplo, si el módulo para ESXi se ve comprometido con un archivo malicioso, se pueden encriptar varias máquinas virtuales a la vez, amplificando así el daño potencial en los entornos corporativos, y en cuestión de minutos.

Interfaz
Al ser un grupo de Ransomware as a Service, a LockBit 5.0 le interesa contar con asociados que utilicen sus servicios y herramientas. Esta nueva variante tiene una interfaz de usuario mejorada, con un formato es mucho más claro que facilita la experiencia para sus asociados: desde diversas opciones y parámetros de ejecución, hasta modelos de nota de rescate y configuraciones de cifrado. Así, ofrece una flexibilidad operativa y personalización de los ataques.

Evasión avanzada y ofuscación
En Windows, usa técnicas avanzadas para ocultar su funcionamiento, empaquetando su código y cargándolo a través de reflexión de DLL. De esta manera, no es fácil de analizar ni detectar, ya que su código real no está visible como en otros tipos de ransomware.

• Además, añade extensiones aleatorias de 16 letras a los archivos cifrados, para impedir la identificación de patrones y complicar los intentos de recuperación. No deja marcas o firmas en archivos afectados, lo que dificulta el trabajo de investigación.

¿Cómo protegerse del ransomware LockBit 5.0?

1. Actualizaciones y parches de seguridad: Mantener todos los sistemas y software al día, ya que LockBit 5.0 suele aprovechar vulnerabilidades conocidas como punto de entrada.
2. Soluciones de detección avanzadas: Implementar herramientas de seguridad y MDR para monitorear actividades anómalas, como procesos no autorizados o movimientos laterales.
3. Segmentación de red y modelo Zero-Trust: Restringir el movimiento lateral mediante controles de acceso estrictos; el enfoque Zero-Trust refuerza la seguridad al no asumir confianza por defecto dentro o fuera de la red.
4. Backups aislados: Realizar copias de seguridad frecuentes en almacenamientos aislados, para mitigar el impacto del cifrado de datos que ejecuta LockBit 5.0.
5. Capacitación y concientización: Formar al personal para reconocer correos de phishing, uno de los principales vectores de ataque, fortaleciendo así la primera línea de defensa.

Fuente: https://www.welivesecurity.com/es/ransomware/lockbit-5-ultima-version-ra...