Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

LockBit 5.0: ¿Señales de un nuevo y posible «renacimiento»?

Pietro Melillo : 3 septiembre 2025 17:11

LockBit representa una de las bandas de ransomware más longevas y mejor estructuradas de los últimos años, con un modelo de ransomware como servicio (RaaS) que ha impactado profundamente el ecosistema criminal.

Tras la operación internacional Operación Cronos, llevada a cabo en febrero de 2024 y que condujo a la incautación de numerosas infraestructuras y a la vulneración de los paneles de gestión afiliados, el grupo parecía destinado a un declive irreversible. Sin embargo, en las últimas semanas, nueva evidencia en la red Onion ha alimentado las especulaciones sobre un resurgimiento de la marca LockBit, bajo el acrónimo LockBit 5.0.

Breve historia del grupo

  • 2019: aparición de las primeras variantes de LockBit, caracterizadas por una rápida automatización de la propagación en entornos Windows y técnicas avanzadas de cifrado.
  • 2020-2021: consolidación del modelo RaaS y fuerte expansión en el ámbito de la ciberdelincuencia; introducción de sitios web de filtración de datos como herramienta de doble extorsión.
  • 2022: LockBit se convierte en uno de los grupos más activos a nivel mundial, lanzando las versiones LockBit 2.0 y 3.0, con implementaciones en múltiples idiomas y cargas útiles multiplataforma.
  • 2023: mayor diversificación con cargas útiles en Go y Linux, y campañas dirigidas a cadenas de suministro y sectores críticos.
  • 2024 (Operación Cronos): coordinada por Europol y el FBI, la operación conduce a la incautación de más de 30 servidores, dominios onion y herramientas internas. Por primera vez, se despliega a gran escala un descifrador público.

Evidencias recientes

Al analizar su sitio clandestino, se muestra un portal accesible a través de la red onion con la marca LockBit 5.0, que adopta el mismo esquema de panel de cola ya observado en versiones anteriores del grupo. La interfaz vuelve a mostrar logotipos relacionados con Monero (XMR), Bitcoin (BTC) y Zcash (ZEC) como métodos de pago, lo que indica que el modelo de extorsión seguiría centrándose en criptomonedas con un alto grado de anonimato.

El mensaje «You have been placed in a queue, awaiting forwarding to the platform» (Ha sido colocado en una cola, a la espera de ser reenviado a la plataforma) recuerda los mecanismos clásicos de los paneles de afiliación de LockBit, donde el usuario (o afiliado) es redirigido al backend operativo.

Análisis técnico y posibles escenarios

La aparición de LockBit 5.0 puede interpretarse según tres escenarios principales:

Intento de resurrección real: una parte del equipo central no afectada por la Operación Cronos podría haber reconstruido una infraestructura reducida, con el objetivo de reclutar nuevos afiliados.

Operación de engaño (honeypot): no se descarta la posibilidad de que se trate de un señuelo creado por investigadores o fuerzas del orden para monitorizar el tráfico e identificar a los afiliados supervivientes.

Rebranding oportunista: terceros, aprovechando la «marca» LockBit, podrían reutilizarla para obtener visibilidad y autoridad inmediatas en la escena underground.

Pietro Melillo


Lista degli articoli

Artículos destacados

¡Google Drive se defiende del ransomware! La IA bloquea los ataques.
Di Redazione RHC - 02/10/2025

Google ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...

Phantom Taurus: el grupo de hackers chinos que espía a gobiernos y embajadas
Di Redazione RHC - 02/10/2025

Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...

Descubriendo la inyección rápida: cuando la IA se deja engañar por las palabras
Di Manuel Roccon - 02/10/2025

Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...

¡De usuario a root en un segundo! CISA advierte: millones de sistemas operativos en riesgo. ¡Parche!
Di Redazione RHC - 30/09/2025

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...

¡EE. UU. quiere hackear Telegram! El caso genera debate sobre privacidad y jurisdicción.
Di Redazione RHC - 29/09/2025

El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...