Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

LockBit 5.0: ¿signos concretos de un posible renacimiento?

Pietro Melillo : 11 septiembre 2025 07:26

El panorama del ransomware sigue caracterizándose por dinámicas de adaptación y resiliencia. Incluso cuando una operación internacional parece significar el fin de un grupo criminal, la experiencia nos demuestra que la desaparición suele ser solo temporal. Este es el caso de LockBit, una de las bandas más prolíficas y estructuradas de los últimos cinco años, cuya saga parecía haber terminado con la Operación Cronos en febrero de 2024. Hoy, sin embargo, nuevas evidencias provenientes de la dark web alimentan la especulación de que está regresando bajo una nueva apariencia: LockBit 5.0.

LockBit: De dominio indiscutible a aparente declive

A lo largo de los años, LockBit ha representado un Punto de referencia para el ecosistema criminal, gracias a su enfoque de ransomware como servicio (RaaS), su extensa red de afiliados y la constante innovación en técnicas de cifrado y propagación. La introducción de sitios de filtración de datos (DLS) como herramienta de presión ha convertido a LockBit en un auténtico icono del cibercrimen. Con la Operación Cronos, que culminó con la incautación de numerosas infraestructuras y la vulneración de los paneles afiliados, el grupo parecía destinado a su declive definitivo. Sin embargo, como ya se analizó en el artículo anterior, los rastros residuales de actividad y las señales dispersas por la dark web sugerían una posible reorganización.

La aparición de LockBit 5.0

En las últimas horas, ha surgido una imagen que parece confirmar esta hipótesis: una pantalla de autenticación para un nuevo DLS vinculado a la marca LockBit. A diferencia de los portales tradicionales, de libre acceso para maximizar el efecto coercitivo sobre las víctimas, esta nueva infraestructura requiere la inserción de una clave privada para acceder a su contenido.
Esta opción introduce nuevos elementos y abre diferentes escenarios interpretativos:
    • un intento de aumentar el secreto operativo, reduciendo la exposición a investigadores y fuerzas del orden;
    • una lógica de selección de interlocutores, limitando el acceso a socios o afiliados de confianza;
    • o un experimento de renovación de marca, útil para probar nuevas formas de gestionar datos exfiltrados.

Un ecosistema en evolución: IA y automatización

El resurgimiento de LockBit debe considerarse en el contexto de una evolución más amplia. Varios grupos de ransomware están experimentando con nuevas técnicas de ataque, integrando automatización, módulos de evasión avanzados y estrategias de doble extorsión más agresivas. En este contexto, el debate sobre el uso de la inteligencia artificial como factor disruptivo cobra cada vez mayor relevancia. Como también se destaca en la publicación de Anastasia Sentsova, la posibilidad de que surjan campañas de ransomware orquestadas por IA en el futuro abre escenarios en los que la selección de objetivos, el movimiento lateral y la negociación podrían optimizarse en tiempo real. En este sentido, el posible renacimiento de LockBit 5.0 podría marcar el inicio de una nueva fase experimental.

Conclusiones

La pantalla de inicio de sesión filtrada del nuevo DLS, que solicita una clave privada, no es solo un detalle técnico, sino una pista que plantea una serie de preguntas abiertas:
    • ¿Quién gestiona realmente esta infraestructura?
  • ¿Está LockBit realmente orquestando el resurgimiento o es un nuevo actor que se aprovecha de la marca?
  • ¿Cuál será la próxima evolución en el modelo de extorsión y publicación de datos?
Por el momento, no hay respuestas definitivas. Sin embargo, una cosa es segura: el vacío dejado por LockBit en el panorama del ransomware es demasiado grande para permanecer así por mucho tiempo. Si LockBit 5.0 demostrara su valía, la industria podría enfrentarse a un nuevo punto de inflexión, con impactos significativos en las tácticas, técnicas y procedimientos del cibercrimen internacional.

Pietro Melillo


Lista degli articoli

Artículos destacados

¡Ya llegó Google CodeMender! Cuando la IA encuentra errores en el código y los corrige ella misma.
Di Redazione RHC - 07/10/2025

Sería fantástico contar con un agente de IA capaz de analizar automáticamente el código de nuestros proyectos, identificar errores de seguridad, generar correcciones y lanzarlos inmediatamente a p...

RediShell: un RCE de 13 años con una puntuación de 10 se ha actualizado a Redis
Di Redazione RHC - 07/10/2025

Una falla crítica de 13 años de antigüedad, conocida como RediShell , en Redis permite la ejecución remota de código (RCE) , lo que brinda a los atacantes la capacidad de obtener control total de...

¡Italia forma parte del mundo Zero Day! ¡Los primeros auxiliares de enfermería italianos son Leonardo y Almaviva!
Di Massimiliano Brolli - 06/10/2025

Se ha dicho muy poco sobre este acontecimiento, que personalmente considero de importancia estratégica y signo de un cambio importante en la gestión de las vulnerabilidades indocumentadas en Italia....

Alerta de WhatsApp: Nuevo malware se propaga como un virus entre los contactos
Di Redazione RHC - 06/10/2025

Investigadores de Trend Micro han detectado una campaña de malware a gran escala dirigida a usuarios de Brasil. Se distribuye a través de la versión de escritorio de WhatsApp y se caracteriza por u...

Vulnerabilidad de Oracle E-Business Suite 9.8: se necesitan actualizaciones urgentes
Di Redazione RHC - 05/10/2025

Oracle ha publicado un aviso de seguridad sobre una vulnerabilidad crítica identificada como CVE-2025-61882 en Oracle E-Business Suite . Esta falla puede explotarse remotamente sin autenticación , l...