En seis años LockBit vivió de todo: un crecimiento vertiginoso, pagos récord, operaciones internacionales, una filtración del código fuente y, finalmente, la intrusión en su propia infraestructura. Esta crónica muestra cómo el proyecto experimental «ABCD» se convirtió en la fábrica de cifradores más reconocible y, luego, en objeto de burla ajena. Nos sumergimos en los detalles: desde los primeros rescates hasta el reciente defacement con el audaz lema «No cometas delitos».
Raíces: la era «ABCD» y los primeros rescates (2019–2020)
septiembre de 2019: los investigadores detectaron una versión temprana del cifrador que marcaba los archivos cifrados con la extensión .abcd. De ahí el nombre de trabajo del proyecto. La herramienta era tosca, pero destacaba por el despliegue automatizado: tras comprometer un dominio, el script buscaba comparticiones SMB públicas y hosts RDP. Ya en la primavera de 2020 sus autores renombraron el producto a LockBit y anunciaron un temprano RaaS-modelo: a los socios se les prometía hasta 75 % del rescate y cero «cuota» inicial.
La máquina de hacer bitcoins: cómo funciona la línea RaaS de LockBit
En el grupo no existía la clásica vertical «jefe–desarrollador–mula». Los desarrolladores escriben la criptografía y gestionan las carteras de pago, los afiliados buscan fallas y los «vendedores» negocian en el escaparate de filtraciones. El panel de socios recuerda a un servicio SaaS: estadísticas de infecciones, generación de builds para Windows / Linux / ESXi, tickets de soporte. La culminación del marketing fue la primera bug bounty en la dark web (2022): por informar de una vulnerabilidad en el servicio la banda pagaba hasta 1 000 $. Es irónico que, un año después, el código fuente de LockBit 2.0 se filtrara en el foro XSS —según rumores, lo filtró un desarrollador resentido.
Evolución de la familia: de 2.0 al «plan 4.0»
- LockBit 2.0 (mediados de 2021) — cifrado reescrito AES-128 + ECC y modo acelerado «StealBit» para exfiltrar datos y bloquear discos simultáneamente.
- LockBit 3.0 / Black (verano de 2022) — arquitectura modular, desactivación de snapshots de ESXi y la ya mencionada bug bounty.
- LockBit Green (febrero de 2023) — build híbrido con fragmentos de código de Conti; en el panel surgieron presets para evadir antivirus y filtros finos por extensiones.
- LockBit 4.0 (anuncio diciembre de 2024) — según informantes, el grupo prueba un módulo de autoeliminación e integra IA para seleccionar puntos de entrada iniciales y así acortar el ciclo de ataque.
El libro negro de las víctimas: las campañas más sonadas
En el pico de actividad, para el verano de 2023, el feed de filtraciones de LockBit se llenaba con una decena de empresas al día. A continuación solo la punta del iceberg:
- Accenture (agosto de 2021) — los extorsionadores pedían $50 millones; la corporación admitió el ataque, pero no divulgó si pagó.
- Royal Mail (enero de 2023) — los envíos internacionales se detuvieron casi 2 semanas; los hackers amenazaron con filtrar documentación técnica.
- Continental (noviembre de 2022) — filtración de especificaciones de diseño y memorandos legales.
- Boeing (octubre de 2023) — se publicaron >43 GB de imágenes de respaldo; la suma reclamada, según periodistas, alcanzó los $200 millones.
El tradicional ataque doble — cifrado más amenaza de publicación — evolucionó en LockBit hacia una presión «triple»: un DDoS paralelo al sitio de la víctima, lo que dificultaba sus comentarios públicos y las negociaciones.
Operación Cronos: el martillo internacional (febrero de 2024)
19 de febrero de 2024 todo el sitio oscuro de LockBit «se vistió» con los emblemas de las fuerzas del orden de 11 países. Operación Cronos sacó de servicio 34 servidores, incautó 1 000 descifradores y cerró las carteras de pago del grupo. Después se supo que uno de los administradores accedió a colaborar con la investigación, revelando detalles de la contabilidad interna. LockBit desapareció durante cinco días, pero luego los afiliados restauraron el escaparate en dominios de respaldo y declararon la caza de «informantes».
Abril de 2025: cuando los hackers son víctimas. Compromiso de paneles de administración y filtración de paneldb_dump.zip
29 de abril de 2025 fue un día de humillación para LockBit. Todos los paneles de afiliados resultaron defaceados con la inscripción No cometas delitos — EL CRIMEN ES MALO — besos desde Praga
, y junto a ella aparecía un enlace al archivo paneldb_dump.zip. El análisis de BleepingComputer confirmó la autenticidad del volcado SQL:
- btc_addresses — 59 975 direcciones de Bitcoin por las que se pueden rastrear las rutas de los rescates;
- builds — historial de generación de compilaciones maliciosas con claves públicas y etiquetas de objetivos;
- builds_configurations — plantillas para evadir servidores ESXi, listas de extensiones para cifrar;
- chats — 4 442 mensajes de negociaciones con víctimas (19 de diciembre de 2024 – 29 de abril de 2025);
- users — 75 cuentas de socios, con contraseñas almacenadas en texto sin cifrar, entre ellas «Weekendlover69» y «MovingBricks69420».
LockBitSupp, en el chat de Tox, confirmó el compromiso y aseguró que las claves privadas «estaban a salvo». Sin embargo, el servidor corría en una versión vulnerable de PHP 8.1.2, afectada por CVE-2024-4577, que probablemente permitió a los atacantes obtener RCE. Un eslogan similar ya apareció en el defacement de otra banda —Everest—, lo que lleva a los expertos a hablar de una «campaña de avergonzamiento» contra los extorsionadores.
La filtración golpea en tres frentes a la vez:
- Finanzas. El seguimiento de 60 000 carteras facilita el bloqueo de transacciones.
- Confianza de los afiliados. La pérdida de datos personales y las contraseñas expuestas hacen tóxico trabajar bajo la marca LockBit.
- Inteligencia. La correspondencia con víctimas proporciona material único para analizar tácticas de presión y las sumas medias de rescate.
Tácticas, técnicas y procedimientos (TTP): por qué LockBit fue tan eficaz
- Acceso inicial: exploits de CVE (Citrix Bleed CVE-2023-4966), phishing y compra de accesos RDP en foros.
- Movimiento lateral: PSExec, RDP «desde dentro» y exploits para versiones antiguas de VMWare ESXi.
- Exfiltración: herramienta propia StealBit y copias sombra en almacenamientos compatibles con S3.
- Cifrado: combinación AES-128 / ChaCha20 con clave única por archivo y firma ECC.
- Presión: chats individuales, DDoS, publicación de datos personales de altos directivos.
Protección según la regla de «tres capas»
- Prevención: restricción de RDP, parches al día, cuentas separadas para MFA.
- Detección: monitorización de anomalías en AD, reglas de Sysmon para eliminación masiva de copias sombra.
- Respuesta/recuperación: copias de seguridad offline (regla 3-2-1), protocolo de relaciones públicas para filtraciones y canales de comunicación previamente acordados con el SOC.
En vez de epílogo: qué viene y qué enseñó LockBit
El daño acumulado por LockBit se cuenta en cientos de millones de dólares, pero la lección principal de la banda es la comercialización del ciberdelito. Montar una «startup» en la dark web resultó ser más fácil de lo que muchos pensaban: solo se necesita un eficaz GTM, marketing y soporte técnico. No obstante, el reciente defacement demuestra que incluso la «organización» más brillante se derrumba si ignora la higiene cibernética básica. La reputación, como en el negocio legal, es un activo frágil que puede destruirse con un volcado SQL.
Es muy probable que LockBit intente relanzarse bajo una nueva marca —las pruebas tempranas de la versión 4.0 lo sugieren—. Pero la confianza de los afiliados regresa mucho más despacio que una nueva vitrina en Tor. Mientras tanto, los investigadores analizan las negociaciones y las direcciones de Bitcoin; a los CISO corporativos les corresponde plantearse: ¿qué tan segura es nuestra propia «panel»?
