Después de un golpe fuerte por parte de las autoridades en febrero de 2024, muchos pensaron que LockBit había quedado fuera de juego. Pero no fue así. El grupo de ransomware más activo de los últimos años ha vuelto justo a tiempo para su sexto aniversario, presentando su nueva y peligrosa versión: LockBit 5.0.
Investigadores de Trend Micro han detectado y analizado muestras del malware diseñadas para Windows, Linux y VMware ESXi, lo que confirma que el grupo sigue apostando fuerte por los ataques multiplataforma. Esto significa que no solo buscan cifrar sistemas Windows, sino que también están preparados para comprometer servidores críticos y entornos virtualizados.
El hallazgo de estas nuevas variantes en septiembre de 2025 marca una evolución importante en la estrategia del grupo. LockBit continúa afinando su enfoque: atacar múltiples sistemas operativos al mismo tiempo, una técnica que ya venían usando desde la versión 2.0 lanzada en 2021, pero que ahora perfeccionan con capacidades aún más avanzadas y difíciles de detener.
Con LockBit 5.0, el grupo detrás del ransomware ha dado un paso más allá, afinando sus ataques para adaptarse a cada sistema operativo. Esta nueva versión está diseñada para evadir detección con técnicas avanzadas, mientras maximiza el daño en cada entorno que compromete.
La versión de LockBit 5.0 para Windows llega con una serie de mejoras que dificultan tanto su análisis como su detección. Utiliza una combinación de ofuscación avanzada y empaquetado pesado, lo que hace más complicado entender su funcionamiento desde el punto de vista técnico.
En lugar de métodos tradicionales, carga su código malicioso a través de reflexión DLL, una técnica que oculta sus intenciones al sistema y a los analistas de seguridad. Para protegerse aún más, aplica técnicas antianálisis, como la modificación de la API de seguimiento de eventos de Windows (ETW) y el cierre automático de hasta 63 servicios relacionados con la seguridad.
Además, esta nueva versión para Windows viene con un menú de ayuda renovado, más claro y fácil de usar, probablemente pensado para facilitar las instrucciones de pago del rescate a las víctimas.
Variante de Windows
La versión de LockBit 5.0 para Linux no se queda atrás. De hecho, replica gran parte de la funcionalidad que vemos en su contraparte de Windows, lo que le da a los atacantes un conjunto de comandos consistentes y fáciles de usar para personalizar sus ataques.
Con esta variante, los ciberdelincuentes pueden elegir exactamente qué directorios o tipos de archivos cifrar, dejando fuera lo que no les interesa. Además, la herramienta tiene la capacidad de registrar en tiempo real sus actividades, mostrando de manera clara qué archivos están siendo bloqueados y cuáles han sido excluidos del ataque.
En resumen: el ransomware en Linux ahora es igual de flexible y peligroso que en Windows, lo que convierte a LockBit 5.0 en una amenaza seria para servidores y entornos empresariales críticos.
Variante Linux
LockBit 5.0 también viene con una variante creada específicamente para atacar entornos de VMware ESXi, una de las plataformas de virtualización más usadas en empresas de todos los tamaños. Y aquí está el verdadero problema: si un solo host ESXi cae comprometido, los atacantes pueden cifrar decenas o incluso cientos de máquinas virtuales de golpe, provocando interrupciones masivas en cuestión de minutos.
Para hacer el ataque aún más eficiente, esta versión incluye parámetros diseñados a medida para el cifrado de máquinas virtuales, lo que le permite actuar con rapidez y precisión sobre los recursos más críticos de una organización.
En pocas palabras, si antes LockBit era una pesadilla, ahora con esta variante para ESXi puede convertirse en un verdadero escenario de caos para cualquier infraestructura basada en la nube o en virtualización.
Variante ESXi
Conoce más sobre: Principales Vulnerabilidades de Día Cero explotadas en 2025
LockBit 5.0 no apareció de la nada. Es una evolución directa de su versión anterior, LockBit 4.0, y hereda buena parte de su código base. Ambos comparten algoritmos de cifrado y métodos hash prácticamente idénticos, lo que deja claro que los mismos desarrolladores están detrás de esta nueva variante.
Los patrones de comportamiento también son consistentes en todas sus versiones. Los archivos cifrados reciben una extensión aleatoria de 16 caracteres, lo que dificulta tanto su identificación como cualquier intento de recuperación manual.
Otra de sus particularidades es que evita ejecutarse en sistemas con configuración de idioma ruso o geolocalizados en Rusia. Además, una vez que termina el proceso de cifrado, borra los registros de eventos del sistema para cubrir sus huellas y complicar la labor de los analistas forenses.
Las mejoras técnicas en LockBit 5.0 lo convierten en una amenaza mucho más peligrosa que sus predecesores. Su fuerte ofuscación de código retrasa la creación de firmas de detección, mientras que su capacidad para atacar entornos virtualizados amplifica el impacto en empresas que dependen de estas infraestructuras.
El hecho de que el grupo haya podido reagruparse y lanzar una versión renovada tras la Operación Cronos demuestra su resistencia y organización.
Por todo esto, las organizaciones deben reforzar de inmediato su postura de seguridad. Algunas medidas clave incluyen:
Búsqueda proactiva de amenazas para detectar actividad sospechosa antes de que sea demasiado tarde.
Protecciones avanzadas en endpoints y redes, capaces de identificar patrones de ataque en tiempo real.
Una atención especial a la seguridad en entornos virtualizados, que se han convertido en uno de los objetivos principales del grupo.
En este punto, soluciones especializadas como TecnetProtect, basada en la tecnología de Acronis, ofrecen una capa de protección extra frente al ransomware. Su enfoque combina copias de seguridad seguras con herramientas de defensa activa, lo que permite no solo prevenir infecciones, sino también recuperar datos de manera rápida y confiable en caso de un ataque.