LockBit 5.0: ¿Señales de un nuevo y posible «renacimiento»?

Pietro Melillo : 3 septiembre 2025 17:11

LockBit representa una de las bandas de ransomware más longevas y mejor estructuradas de los últimos años, con un modelo de ransomware como servicio (RaaS) que ha impactado profundamente el ecosistema criminal.

Tras la operación internacional Operación Cronos, llevada a cabo en febrero de 2024 y que condujo a la incautación de numerosas infraestructuras y a la vulneración de los paneles de gestión afiliados, el grupo parecía destinado a un declive irreversible. Sin embargo, en las últimas semanas, nueva evidencia en la red Onion ha alimentado las especulaciones sobre un resurgimiento de la marca LockBit, bajo el acrónimo LockBit 5.0.

Breve historia del grupo

• 2019: aparición de las primeras variantes de LockBit, caracterizadas por una rápida automatización de la propagación en entornos Windows y técnicas avanzadas de cifrado.
• 2020-2021: consolidación del modelo RaaS y fuerte expansión en el ámbito de la ciberdelincuencia; introducción de sitios web de filtración de datos como herramienta de doble extorsión.
• 2022: LockBit se convierte en uno de los grupos más activos a nivel mundial, lanzando las versiones LockBit 2.0 y 3.0, con implementaciones en múltiples idiomas y cargas útiles multiplataforma.
• 2023: mayor diversificación con cargas útiles en Go y Linux, y campañas dirigidas a cadenas de suministro y sectores críticos.
• 2024 (Operación Cronos): coordinada por Europol y el FBI, la operación conduce a la incautación de más de 30 servidores, dominios onion y herramientas internas. Por primera vez, se despliega a gran escala un descifrador público.

Evidencias recientes

Al analizar su sitio clandestino, se muestra un portal accesible a través de la red onion con la marca LockBit 5.0, que adopta el mismo esquema de panel de cola ya observado en versiones anteriores del grupo. La interfaz vuelve a mostrar logotipos relacionados con Monero (XMR), Bitcoin (BTC) y Zcash (ZEC) como métodos de pago, lo que indica que el modelo de extorsión seguiría centrándose en criptomonedas con un alto grado de anonimato.

El mensaje «You have been placed in a queue, awaiting forwarding to the platform» (Ha sido colocado en una cola, a la espera de ser reenviado a la plataforma) recuerda los mecanismos clásicos de los paneles de afiliación de LockBit, donde el usuario (o afiliado) es redirigido al backend operativo.

Análisis técnico y posibles escenarios

La aparición de LockBit 5.0 puede interpretarse según tres escenarios principales:

Intento de resurrección real: una parte del equipo central no afectada por la Operación Cronos podría haber reconstruido una infraestructura reducida, con el objetivo de reclutar nuevos afiliados.

Operación de engaño (honeypot): no se descarta la posibilidad de que se trate de un señuelo creado por investigadores o fuerzas del orden para monitorizar el tráfico e identificar a los afiliados supervivientes.

Rebranding oportunista: terceros, aprovechando la «marca» LockBit, podrían reutilizarla para obtener visibilidad y autoridad inmediatas en la escena underground.

Pietro Melillo


Lista degli articoli