Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

LockBit 5.0: el ransomware multiplataforma que ataca a los hipervisores

Antonio Piazzolla : 3 octubre 2025 07:10

En septiembre de 2025, surgió una nueva versión del infame ransomware LockBit, denominada LockBit 5.0. No se trata de una simple «actualización»: es una adaptación operativa diseñada para ser más rápida, menos ruidosa y tener un mayor impacto en las infraestructuras virtualizadas. Cabe destacar de inmediato que la versión 5.0 es multiplataforma: se han identificado muestras para Windows, Linux y VMware ESXi, lo que amplía la superficie de ataque y requiere la coordinación entre diferentes equipos (endpoints, servidores, virtualización).

¿Qué cambios?

La cadena de ataque sigue siendo la misma, pero LockBit 5.0 la lleva adelante más rápido y con medidas diseñadas para minimizar los rastros:

  • LockBit 5.0 busca ejecutarse «en memoria» permaneciendo «en RAM». En lugar de dejar archivos en disco, inyecta y carga código directamente en memoria: por lo tanto, el indicador ya no es el archivo sospechoso, sino el comportamiento de procesos que, por lo demás, son legítimos. Se observa que aplicaciones «limpias» abren repentinamente miles de archivos, crean hilos en serie o comienzan a comunicarse a través de la red sin el ejecutable correspondiente. En sistemas EDR/NGAV bien configurados, esto suele traducirse en advertencias sobre inyección de código o módulos cargados solo en memoria, con secuencias típicas como VirtualAlloc → WriteProcessMemory → CreateRemoteThread o el uso de MapViewOfSection. Sin embargo, la alarma no siempre salta: la ofuscación, las llamadas al sistema indirectas y la sincronización diluida pueden enmascarar la cadena; en estaciones de trabajo protegidas solo por antivirus tradicionales, es fácil que se filtre .
  • Reducción de la telemetría útil. LockBit 5.0 incluye acciones destinadas a obstaculizar la recopilación de eventos y registros justo cuando más se necesitan. Esto no significa necesariamente que los registros se eliminen siempre: con mayor frecuencia, se observan inconsistencias (falta de eventos esperados, saltos temporales o reducciones repentinas en el volumen de eventos), la desactivación o modificación de los proveedores de seguimiento y, en algunos casos, comandos explícitos que borran los registros. En esencia, el atacante intenta silenciar las herramientas que le permitirían reconstruir lo sucedido.
  • Atención centrada en hipervisores (ESXi). La variante diseñada para ESXi ataca directamente los archivos de máquinas virtuales (.vmdk) y puede realizar múltiples operaciones de cifrado en paralelo para completar el ataque con mucha mayor rapidez. En la práctica, en lugar de revisar y cifrar servidores individuales uno por uno, el atacante puede saturar un almacén de datos en cuestión de minutos, reduciendo drásticamente el margen de intervención. Por esta razón, es importante vigilar atentamente ciertas señales prácticas: picos repentinos de E/S en el almacén de datos, escrituras intensivas y repetidas en archivos .vmdk, y alarmas o anomalías reportadas por los sistemas de almacenamiento.
  • Comportamiento modular y selectivo. El análisis indica que LockBit 5.0 se comporta más como un «kit» parametrizable que como un binario monolítico. Es posible configurar las opciones de destino, elegir las rutas que se incluirán o excluirán y decidir la agresividad del cifrado. Por lo tanto, se pueden esperar diferentes formas del mismo ataque según la máquina objetivo.

La imagen muestra los parámetros y cómo usarlos para iniciar el cifrado.

LockBit 5.0 centra la atención en la memoria y amplía el perímetro: el endpoint ya no es suficiente; los entornos que lo orquestan también deben estar protegidos. Una respuesta eficaz combina la aplicación constante de parches , el reforzamiento del host ESXi , la monitorización proactiva de registros y la protección de endpoints y redes . Las copias de seguridad aisladas, preferiblemente inmutables y probadas, siguen siendo esenciales para la recuperación. Paralelamente, es necesario reducir la superficie de ataque (desactivando las funciones no esenciales), aplicar el mínimo privilegio y monitorizar las anomalías de la red . Invertir en MDR y la búsqueda proactiva de amenazas es crucial para detectar actividades ocultas antes de que se conviertan en cifrado masivo.

Antonio Piazzolla


Lista degli articoli

Artículos destacados

¡Google Drive se defiende del ransomware! La IA bloquea los ataques.
Di Redazione RHC - 02/10/2025

Google ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...

Phantom Taurus: el grupo de hackers chinos que espía a gobiernos y embajadas
Di Redazione RHC - 02/10/2025

Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...

Descubriendo la inyección rápida: cuando la IA se deja engañar por las palabras
Di Manuel Roccon - 02/10/2025

Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...

¡De usuario a root en un segundo! CISA advierte: millones de sistemas operativos en riesgo. ¡Parche!
Di Redazione RHC - 30/09/2025

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...

¡EE. UU. quiere hackear Telegram! El caso genera debate sobre privacidad y jurisdicción.
Di Redazione RHC - 29/09/2025

El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...