LOCKBIT 5.0 AMPLÍA ATAQUES RANSOMWARE A WINDOWS, LINUX Y ESXI

LockBit es una de las operaciones de ransomware-as-a-service (RaaS) más prolíficas del mundo, en la que desarrolladores mantienen el código y afiliados llevan a cabo ataques.


Su versión más reciente, LockBit 5.0, fue lanzada en septiembre de 2025 y está diseñada para ser multiplataforma, con binarios específicos para Windows, Linux y VMware ESXi, lo que permite comprometer infraestructuras heterogéneas desde estaciones de trabajo hasta servidores y entornos virtualizados.

Utiliza cifrado moderno para bloquear archivos y combina doble extorsión (cifrado de datos más exfiltración) para presionar a las víctimas a pagar rescates. El ransomware incorpora técnicas avanzadas de evasión, ofuscación, terminación de servicios de seguridad y eliminación de registros para dificultar su detección, análisis forense y respuesta.

LockBit 5.0 ha sido observado en campañas activas que afectan a empresas en múltiples sectores y regiones, demostrando su resiliencia y evolución.

A continuación, compartimos IoC (Indicators of Compromise) para ser agregados a las herramientas de seguridad perimetral.

EL ATAQUE

Los ataques de LockBit 5.0 suelen comenzar con acceso inicial a través de vectores comunes como phishing, explotación de servicios expuestos o utilización de credenciales comprometidas. Una vez dentro, el ransomware realiza reconocimiento interno y despliega la variante adecuada según el sistema operativo objetivo, permitiendo cifrar archivos en estaciones Windows, servidores Linux o incluso hipervisores VMware ESXi, lo que puede paralizar múltiples máquinas virtuales desde un solo punto de entrada.

El malware ejecuta cifrado rápido y extensivo, añade extensiones de archivo aleatorias, elimina copias de sombra y aplica evasión de copias de seguridad, además de dejar notas de rescate con enlaces de negociación. En varios casos documentados en la comunidad de seguridad, LockBit 5.0 ha llevado a la publicación de datos robados cuando no se paga el rescate, lo que evidencia su doble enfoque de cifrado y exfiltración para maximizar la presión sobre las víctimas.


Facebook
LinkedIn
Twitter

Últimas Publicaciones