Paga 500 dólares y sé hacker por un día: LockBit lanza venta de "pases de acceso"
El grupo reanudó su actividad tras varios meses de silencio.
La agrupación LockBit, que muchos ya habían descartado tras sonados fracasos y filtraciones, volvió a hacerse notar inesperadamente. En el otoño de 2025 regresó con una nueva versión del cifrador LockBit 5.0 y modificó notablemente su enfoque de negocio, haciendo sus ataques a la vez más accesibles y más tecnológicos.
La historia de LockBit comenzó en 2019, cuando tras la disolución del cártel Maze el grupo empezó a operar de forma independiente bajo el nombre ABCD. Ya a finales de ese mismo año la marca cambió a LockBit, y desde 2020 los operadores pasaron al doble chantaje con su propio sitio de fugas de datos. En los años siguientes el cifrador experimentó varias actualizaciones importantes, incluidas las versiones 2.0, 3.0 y 4.0, así como experimentos con ataques a macOS y el uso de desarrollos del código fuente filtrado de Conti.
Tras la actualización a LockBit 4.0 la actividad del grupo fue disminuyendo gradualmente. Después de mayo de 2025 no aparecieron nuevas víctimas en el sitio de fugas, y la infraestructura parecía abandonada. La situación cambió en septiembre de 2025, cuando LockBit presentó la versión 5.0 y redujo drásticamente el umbral de entrada para socios. Si antes participar en el programa de socios exigía inversiones y reputación serias, ahora bastaba pagar tan solo 500 dólares. Los analistas relacionan este paso con el intento de recuperar influencia tras la operación CRONOS y la filtración de datos internos del panel de administración.
A finales de 2025 los signos de un resurgimiento se hicieron evidentes. La agrupación lanzó nuevos dominios para el sitio de fugas y volvió a mostrar actividad en foros clandestinos, incluidos RAMP y XSS. Según los investigadores, los participantes clave del programa de socios se mantuvieron, y la estructura se reorganizó para aumentar la eficacia y la escalabilidad de los ataques.
Desde el punto de vista técnico, LockBit 5.0 difiere notablemente de las versiones anteriores. El cifrador consta de un cargador y un módulo principal. El cargador se encarga de eludir los mecanismos de protección, descifrar la carga útil y ejecutarla directamente en la memoria, utilizando activamente técnicas anti-depuración y anti-análisis. El módulo principal se ocupa del cifrado de datos y ha recibido todo un conjunto de funciones nuevas.
Uno de los cambios clave fue un cifrado de archivos más flexible. Ahora el algoritmo depende del tamaño del archivo, y para proteger las claves se utiliza la combinación ChaCha20 y Curve25519. Los archivos reciben extensiones aleatorias de 16 caracteres, y antes del cifrado el software malicioso finaliza los procesos que mantienen archivos abiertos. Esto aumenta el porcentaje de cifrado exitoso y reduce la probabilidad de fallos.
En LockBit 5.0 también aparecieron nuevas capacidades que antes no existían. El software malicioso ahora usa un mutex para prevenir ejecuciones múltiples, puede mostrar el estado del cifrado en la consola, elimina archivos temporales para acelerar el funcionamiento y puede dañar intencionadamente el sistema mediante una función wiper, llenando el disco con datos basura. Además se cambió la lógica de eliminación de copias sombra y de limpieza de los registros de eventos, lo que complica seriamente la recuperación de datos y el análisis posterior del incidente.
Los expertos señalan que la actualización a la versión 5.0 hizo a LockBit notablemente más resistente al análisis y más eficaz en ataques, especialmente en redes corporativas. Al mismo tiempo, la reducción del coste de entrada al programa de socios puede conducir a un aumento del número de ataques por parte de operadores menos experimentados pero más numerosos.
Los especialistas en seguridad recomiendan a las organizaciones vigilar atentamente el comportamiento anómalo de los procesos, aplicar las actualizaciones a tiempo y utilizar soluciones de protección actualizadas. El regreso de LockBit demuestra que incluso golpes severos contra la infraestructura de los extorsionadores no garantizan su desaparición definitiva, sino que los empujan a adaptarse y a buscar nuevas tácticas.