El grupo de ransomware LockBit vuelve a estar en el foco con el anuncio y análisis de su versión más reciente: LockBit 5.0. Esta variante representa un salto en sofisticación y en alcance multiplataforma, con mejoras técnicas que la hacen especialmente peligrosa para infraestructuras críticas. A continuación, te explico lo más relevante, los riesgos y cómo protegerse.
¿Qué hay de nuevo en LockBit 5.0?
De acuerdo con el análisis que publicó Devel Group, así como investigaciones de Trend Micro y otros laboratorios, estas son las principales novedades de LockBit 5.0:
¿Qué hay de nuevo en LockBit 5.0?
De acuerdo con el análisis que publicó Devel Group, así como investigaciones de Trend Micro y otros laboratorios, estas son las principales novedades de LockBit 5.0:
| Característica | Detalle |
|---|---|
| Ofuscación y empaquetado avanzado | La versión para Windows carga su “payload” mediante DLL reflection y está empaquetada para dificultar el análisis estático. |
| Técnicas anti-análisis | Parcheo de funciones de ETW (Event Tracing for Windows), terminación de servicios de seguridad, borrado de registros del sistema. |
| Soporte multiplataforma | Versiones confirmadas para: • Linux: con parámetros para elegir o excluir directorios. • ESXi (VMware virtualización): puede atacar directamente entornos virtualizados, cifrando múltiples máquinas virtuales a la vez. |
| Geofencing / restricción geográfica | Se evita ejecutar si el sistema está configurado con idioma ruso o localización de Rusia, práctica común en ciertos grupos de ransomware para evadir represalias policiales locales. |
| Parámetros flexibles de comando | Opciones como -d (directorios para cifrar), -b (directorios para saltar), modo invisible (-i, donde no modifica extensiones visibles o notas de rescate), modos de operación local, de red o apagado de espacio libre, etc. |
También hay correspondencias de código con versiones anteriores (por ejemplo, con LockBit 4.0), lo que sugiere que 5.0 no es un “nombre tomado prestado”, sino una evolución directa del grupo original.
¿Por qué es especialmente peligroso?
LockBit 5.0 incorpora varios elementos que elevan su nivel de riesgo:
- Ataque a entornos virtualizados
El hecho de que haya una variante para ESXi implica que un atacante podría comprometer un solo host de virtualización y cifrar decenas o cientos de máquinas virtuales en bloque, causando un daño masivo en poco tiempo. - Difícil detección por firmas
Con ofuscación, empaquetado, extensiones variadas, eliminación de registros y técnicas anti-análisis, muchos mecanismos que dependen de firmas estáticas o patrones rígidos se vuelven ineficaces frente a 5.0. - Flexibilidad para los atacantes
Los parámetros de control permiten adaptar el ataque según el entorno: decidir qué cifrar, qué omitir, operar de forma “invisible” o visible, etc. Eso hace que el malware se pueda ajustar “a medida” de la víctima. - Continuidad del grupo LockBit
Las similitudes de código y estructura con versiones anteriores indican que este grupo aún posee capacidades técnicas y quiere recuperar terreno luego de operativos contra sus infraestructuras.
Recomendaciones para la defensa
Dada la amenaza que representa LockBit 5.0, las organizaciones deben endurecer sus defensas. Algunas acciones recomendadas:
- Segregar y proteger el acceso a ESXi
Usa VPNs, jump boxes, bastiones, segmentación de red estricta para los hosts de virtualización. - Respaldos fuera de línea
Asegúrate de que los respaldos no estén montados ni accesibles por los sistemas principales. Que estén inaccesibles para el ransomware. - Detección conductual (EDR/XDR)
Configura alertas para detección de comportamiento anómalo: parcheo de ETW, terminación de servicios de seguridad, borrado de logs, cifrado masivo de archivos, etc. - Monitorización de actividades sospechosas
Vigila la creación o modificación en masa de archivos con extensiones extrañas y también operaciones en ESXi. - Pruebas de caza de amenazas (threat hunting)
Realiza búsquedas proactivas orientadas a indicadores de compromiso (IoCs) relacionados a LockBit 5.0. - Capacitación del personal
Enseña al equipo de TI y a usuarios claves señales de ataque, phishing, ingeniería social y prevención básica.