Red Hot Cyber
La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar
320x100 Itcentric
LECS 970x120 1
LockBit 5.0: el ransomware multiplataforma que ataca a los hipervisores

LockBit 5.0: el ransomware multiplataforma que ataca a los hipervisores

Antonio Piazzolla : 3 octubre 2025 07:10

En septiembre de 2025, surgió una nueva versión del infame ransomware LockBit, denominada LockBit 5.0. No se trata de una simple «actualización»: es una adaptación operativa diseñada para ser más rápida, menos ruidosa y tener un mayor impacto en las infraestructuras virtualizadas. Cabe destacar de inmediato que la versión 5.0 es multiplataforma: se han identificado muestras para Windows, Linux y VMware ESXi, lo que amplía la superficie de ataque y requiere la coordinación entre diferentes equipos (endpoints, servidores, virtualización).

¿Qué cambios?

La cadena de ataque sigue siendo la misma, pero LockBit 5.0 la lleva adelante más rápido y con medidas diseñadas para minimizar los rastros:

  • LockBit 5.0 busca ejecutarse «en memoria» permaneciendo «en RAM». En lugar de dejar archivos en disco, inyecta y carga código directamente en memoria: por lo tanto, el indicador ya no es el archivo sospechoso, sino el comportamiento de procesos que, por lo demás, son legítimos. Se observa que aplicaciones «limpias» abren repentinamente miles de archivos, crean hilos en serie o comienzan a comunicarse a través de la red sin el ejecutable correspondiente. En sistemas EDR/NGAV bien configurados, esto suele traducirse en advertencias sobre inyección de código o módulos cargados solo en memoria, con secuencias típicas como VirtualAlloc → WriteProcessMemory → CreateRemoteThread o el uso de MapViewOfSection. Sin embargo, la alarma no siempre salta: la ofuscación, las llamadas al sistema indirectas y la sincronización diluida pueden enmascarar la cadena; en estaciones de trabajo protegidas solo por antivirus tradicionales, es fácil que se filtre .
  • Reducción de la telemetría útil. LockBit 5.0 incluye acciones destinadas a obstaculizar la recopilación de eventos y registros justo cuando más se necesitan. Esto no significa necesariamente que los registros se eliminen siempre: con mayor frecuencia, se observan inconsistencias (falta de eventos esperados, saltos temporales o reducciones repentinas en el volumen de eventos), la desactivación o modificación de los proveedores de seguimiento y, en algunos casos, comandos explícitos que borran los registros. En esencia, el atacante intenta silenciar las herramientas que le permitirían reconstruir lo sucedido.
  • Atención centrada en hipervisores (ESXi). La variante diseñada para ESXi ataca directamente los archivos de máquinas virtuales (.vmdk) y puede realizar múltiples operaciones de cifrado en paralelo para completar el ataque con mucha mayor rapidez. En la práctica, en lugar de revisar y cifrar servidores individuales uno por uno, el atacante puede saturar un almacén de datos en cuestión de minutos, reduciendo drásticamente el margen de intervención. Por esta razón, es importante vigilar atentamente ciertas señales prácticas: picos repentinos de E/S en el almacén de datos, escrituras intensivas y repetidas en archivos .vmdk, y alarmas o anomalías reportadas por los sistemas de almacenamiento.
  • Comportamiento modular y selectivo. El análisis indica que LockBit 5.0 se comporta más como un «kit» parametrizable que como un binario monolítico. Es posible configurar las opciones de destino, elegir las rutas que se incluirán o excluirán y decidir la agresividad del cifrado. Por lo tanto, se pueden esperar diferentes formas del mismo ataque según la máquina objetivo.

La imagen muestra los parámetros y cómo usarlos para iniciar el cifrado.

LockBit 5.0 centra la atención en la memoria y amplía el perímetro: el endpoint ya no es suficiente; los entornos que lo orquestan también deben estar protegidos. Una respuesta eficaz combina la aplicación constante de parches , el reforzamiento del host ESXi , la monitorización proactiva de registros y la protección de endpoints y redes . Las copias de seguridad aisladas, preferiblemente inmutables y probadas, siguen siendo esenciales para la recuperación. Paralelamente, es necesario reducir la superficie de ataque (desactivando las funciones no esenciales), aplicar el mínimo privilegio y monitorizar las anomalías de la red . Invertir en MDR y la búsqueda proactiva de amenazas es crucial para detectar actividades ocultas antes de que se conviertan en cifrado masivo.

Immagine del sitoAntonio Piazzolla


Lista degli articoli

Artículos destacados

Immagine del sito
Gemini 3.0 Pro: Google se prepara para el salto generacional y pretende superar a GPT-5 y Claude 4.5
Di Redazione RHC - 25/10/2025

En los últimos días, algunos usuarios han recibido una notificación diciendo que sus dispositivos Gemini Advanced han sido «actualizados del modelo de la generación anterior al 3.0 Pro, el modelo...

Immagine del sito
Explosión crítica de RCE en Microsoft WSUS explotada activamente. CISA advierte: riesgo inminente.
Di Redazione RHC - 25/10/2025

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta global con respecto a la explotación activa de una falla crítica de ejecución remota de c�...

Immagine del sito
¡Sin carne ni huesos, solo código! Llega el primer presentador de IA de Channel 4.
Di Redazione RHC - 24/10/2025

El lunes 20 de octubre, el Canal 4 transmitió un documental completo presentado por un presentador de televisión creativo impulsado completamente por inteligencia artificial. » No soy real. Por pri...

Immagine del sito
Rusia y el cibercrimen: un equilibrio entre la represión selectiva y el interés estatal
Di Ada Spinelli - 24/10/2025

El ecosistema ruso del cibercrimen ha entrado en una fase de profunda transformación, provocada por una combinación de factores: una presión internacional sin precedentes por parte de los organismo...

Immagine del sito
Hackean la web de la FIA: datos personales de Max Verstappen y más de 7.000 pilotos expuestos
Di Redazione RHC - 24/10/2025

Investigadores de seguridad han descubierto vulnerabilidades en un sitio web de la FIA que contenía información personal confidencial y documentos relacionados con los pilotos, incluido el campeón ...