«No nos detendrán»: LockBit vuelve con la quinta versión de su ransomware y ataca en tres continentes
La operación Cronos resultó ser solo una pausa temporal para los ciberdelincuentes.
Después de una breve pausa, el operador del programa de extorsión LockBit volvió a la actividad, lanzando una nueva versión del malware. En la primavera de 2024, la infraestructura del grupo fue comprometida durante la operación internacional Cronos, sin embargo, hacia el otoño quedó claro que los ataques se habían reanudado con renovada intensidad. El regreso coincidió con el lanzamiento de LockBit 5.0 —la versión con denominación interna «ChuongDong»— que amplió sustancialmente las capacidades de la plataforma.
Desde septiembre de 2025, los especialistas de Check Point Research registraron una serie de ataques contra empresas en países de Europa Occidental, en América del Norte y del Sur, así como en Asia. Alrededor de la mitad de los incidentes se relacionaron con la versión reciente LockBit 5.0, el resto con una modificación anterior, LockBit Black. La mayoría de las intrusiones afectó a sistemas Windows, lo que constituyó alrededor del 80% de todas las infecciones. Los incidentes restantes estuvieron relacionados con servidores basados en Linux y hipervisores ESXi, lo que confirma el carácter multiplataforma de la nueva herramienta.
La reanudación de las campañas se acompañó de una reorganización del programa de socios. Un administrador con el seudónimo LockBitSupp reconstruyó la red de afiliados, ofreciendo acceso al panel de control y a las herramientas de cifrado a cambio de un depósito de $500 en criptomoneda. Ese esquema, según los analistas, volvió a poner en marcha el modelo ransomware como servicio, permitiendo al grupo recuperar influencia en el mercado clandestino.
La quinta versión del malware muestra un progreso técnico notable. Se mejoraron los algoritmos de cifrado: ahora actúan más rápido, reduciendo el tiempo disponible para que los especialistas respondan. Además, en cada ataque se aplican extensiones únicas de archivos de 16 caracteres, generadas aleatoriamente, lo que dificulta la detección de la infección por medios convencionales. Para complicar el análisis se añadieron funciones de anti-depuración y medidas que dificultan la ingeniería inversa, que impiden la investigación de la lógica maliciosa.
El mecanismo de extorsión también ha sufrido cambios. Ahora a las víctimas se les dejan notas que mencionan LockBit 5.0, así como enlaces personalizados para negociar. Además, se establecen plazos estrictos: si no se establece contacto en un plazo de 30 días, la información robada se publicará. Esa táctica, que combina complejidad técnica y presión severa, subraya de nuevo la resiliencia de grupos criminales bien organizados.
¿Estás cansado de que Internet sepa todo sobre ti?