LockBit 5.0: el ransomware multiplataforma que ataca a los hipervisores

Antonio Piazzolla : 3 octubre 2025 07:10

En septiembre de 2025, surgió una nueva versión del infame ransomware LockBit, denominada LockBit 5.0. No se trata de una simple «actualización»: es una adaptación operativa diseñada para ser más rápida, menos ruidosa y tener un mayor impacto en las infraestructuras virtualizadas. Cabe destacar de inmediato que la versión 5.0 es multiplataforma: se han identificado muestras para Windows, Linux y VMware ESXi, lo que amplía la superficie de ataque y requiere la coordinación entre diferentes equipos (endpoints, servidores, virtualización).

¿Qué cambios?

La cadena de ataque sigue siendo la misma, pero LockBit 5.0 la lleva adelante más rápido y con medidas diseñadas para minimizar los rastros:

• LockBit 5.0 busca ejecutarse «en memoria» permaneciendo «en RAM». En lugar de dejar archivos en disco, inyecta y carga código directamente en memoria: por lo tanto, el indicador ya no es el archivo sospechoso, sino el comportamiento de procesos que, por lo demás, son legítimos. Se observa que aplicaciones «limpias» abren repentinamente miles de archivos, crean hilos en serie o comienzan a comunicarse a través de la red sin el ejecutable correspondiente. En sistemas EDR/NGAV bien configurados, esto suele traducirse en advertencias sobre inyección de código o módulos cargados solo en memoria, con secuencias típicas como VirtualAlloc → WriteProcessMemory → CreateRemoteThread o el uso de MapViewOfSection. Sin embargo, la alarma no siempre salta: la ofuscación, las llamadas al sistema indirectas y la sincronización diluida pueden enmascarar la cadena; en estaciones de trabajo protegidas solo por antivirus tradicionales, es fácil que se filtre .
• Reducción de la telemetría útil. LockBit 5.0 incluye acciones destinadas a obstaculizar la recopilación de eventos y registros justo cuando más se necesitan. Esto no significa necesariamente que los registros se eliminen siempre: con mayor frecuencia, se observan inconsistencias (falta de eventos esperados, saltos temporales o reducciones repentinas en el volumen de eventos), la desactivación o modificación de los proveedores de seguimiento y, en algunos casos, comandos explícitos que borran los registros. En esencia, el atacante intenta silenciar las herramientas que le permitirían reconstruir lo sucedido.
• Atención centrada en hipervisores (ESXi). La variante diseñada para ESXi ataca directamente los archivos de máquinas virtuales (.vmdk) y puede realizar múltiples operaciones de cifrado en paralelo para completar el ataque con mucha mayor rapidez. En la práctica, en lugar de revisar y cifrar servidores individuales uno por uno, el atacante puede saturar un almacén de datos en cuestión de minutos, reduciendo drásticamente el margen de intervención. Por esta razón, es importante vigilar atentamente ciertas señales prácticas: picos repentinos de E/S en el almacén de datos, escrituras intensivas y repetidas en archivos .vmdk, y alarmas o anomalías reportadas por los sistemas de almacenamiento.
• Comportamiento modular y selectivo. El análisis indica que LockBit 5.0 se comporta más como un «kit» parametrizable que como un binario monolítico. Es posible configurar las opciones de destino, elegir las rutas que se incluirán o excluirán y decidir la agresividad del cifrado. Por lo tanto, se pueden esperar diferentes formas del mismo ataque según la máquina objetivo.

La imagen muestra los parámetros y cómo usarlos para iniciar el cifrado.

LockBit 5.0 centra la atención en la memoria y amplía el perímetro: el endpoint ya no es suficiente; los entornos que lo orquestan también deben estar protegidos. Una respuesta eficaz combina la aplicación constante de parches , el reforzamiento del host ESXi , la monitorización proactiva de registros y la protección de endpoints y redes . Las copias de seguridad aisladas, preferiblemente inmutables y probadas, siguen siendo esenciales para la recuperación. Paralelamente, es necesario reducir la superficie de ataque (desactivando las funciones no esenciales), aplicar el mínimo privilegio y monitorizar las anomalías de la red . Invertir en MDR y la búsqueda proactiva de amenazas es crucial para detectar actividades ocultas antes de que se conviertan en cifrado masivo.

Antonio Piazzolla


Lista degli articoli