LockBit 5.0 apareció a finales de septiembre de 2025 y rápidamente se ganó la atención de expertos en ciberseguridad. Esta versión marca un salto importante para uno de los grupos de ransomware como servicio (RaaS) más conocidos y peligrosos del mundo.
Lo que empezó en 2019 como el ransomware ABCD ha evolucionado sin freno. Con cada nueva versión, LockBit ha ido perfeccionando su arsenal: cambiando tácticas, adaptándose a las defensas y resistiendo incluso los golpes más duros de las fuerzas del orden y las filtraciones internas.
Ahora, con LockBit 5.0, el grupo lleva su juego a otro nivel. Basado en el código de la versión 4.0, este nuevo lanzamiento incorpora mejoras pensadas para una evasión más efectiva y un impacto más devastador en las redes corporativas. En pocas palabras: LockBit 5.0 no solo regresa, sino que vuelve más sigiloso, más rápido y más peligroso.
En TecnetOne te ayudamos a entender este tipo de amenaza y te mostramos cómo proteger tu empresa antes de que sea demasiado tarde.
Aquí te compartimos las principales capacidades y características que distinguen a LockBit 5.0:
LockBit 5.0 integra un modelo de ejecución de dos etapas. En la primera fase se activa un loader (cargador) que prepara el entorno (persistence, evasión, etc.), y en la segunda fase se inyecta el payload real que cifra los datos. Por ejemplo, el loader crea un proceso “defrag.exe” suspendido, lo inyecta con ZwWriteProcessMemory, luego reanuda el hilo para ejecutar el payload en memoria, evadiendo hooks de seguridad y detecciones clásicas.
Una de las novedades más destacadas de LockBit 5.0 es que no se limita únicamente a sistemas Windows. Existen muestras para Linux y específicamente para VMware ESXi, el hipervisor ampliamente usado en entornos virtualizados. Esto significa que los atacantes pueden paralizar no solo estaciones de trabajo, sino también servidores críticos y plataformas virtuales, lo que multiplica el impacto operacional.
LockBit 5.0 implementa varias técnicas para dificultar su detección, análisis y remoción:
Carga de bibliotecas usando DLL reflection y empaquetado pesado (packing) que oculta el payload real.
Modificación de la función EtwEventWrite (Event Tracing for Windows) para interrumpir el registro de eventos que muchas herramientas de seguridad usan.
Finalización de decenas de servicios de seguridad (hasta 63 en algunos análisis).
Extensiones aleatorias de 16 caracteres para los archivos cifrados (por ejemplo, “archivo.doc.xYzA9B4K12345678”) que dificultan la identificación del cifrado y scripts de recuperación automatizados.
Verificación geográfica y de idioma: evita ejecutarse en sistemas con idioma ruso o geolocalizados en Rusia, un signo típico de grupos de ransomware que operan desde esa región.
El enfoque hacia VMware ESXi es especialmente preocupante para empresas que operan entornos virtualizados o en la nube. Al comprometer un host ESXi, los atacantes pueden cifrar decenas o cientos de máquinas virtuales al mismo tiempo, lo que conlleva una interrupción masiva.
Como otras versiones de LockBit, la versión 5.0 mantiene el modelo de ransomware como servicio: desarrolladores del ransomware ofrecen las herramientas (payload, panel de control, infraestructura) a afiliados que ejecutan los ataques y comparten un porcentaje del rescate.
En la versión 5.0 se ha observado que para acceder al panel los afiliados deben pagar un depósito (aproximadamente 500 USD en Bitcoin) como filtro de entrada. También se conserva la metodología de “doble extorsión”: cifrado de datos + robo de datos + publicación de los mismos si no se paga el rescate.
Descifrado de notas de rescate mediante RC4 (Fuente: FlashPoint)
Conoce más sobre: Ransomware LockBit 5.0: Nuevos Ataques a Windows, Linux y ESXi
Mientras que las versiones anteriores (por ejemplo, LockBit 4.0) ya eran peligrosas, LockBit 5.0 no solo mejora el código base sino que lo amplía hacia entornos virtualizados y multiplataforma.
Cuenta con un interfaz de línea de comandos más flexible lo que señala una mayor refinación para los afiliados que operan estos ataques.
La modularidad y reutilización del código hace que la barrera de entrada para nuevos afiliados sea menor; es más “plug-and-play”. Esto puede aumentar la velocidad y el volumen de ataques posible.
Mejor rendimiento en cifrado y mayor velocidad de propagación, lo que reduce la ventana de detección y contención para los equipos de defensa.
En resumen: no estamos ante un cambio meramente estético o de marketing, sino ante una evolución real que refuerza la amenaza.
LockBit 5.0 no es solo una actualización más: representa un riesgo real para empresas de cualquier tamaño y sector. Su capacidad para atacar sistemas Windows, Linux y entornos virtualizados como VMware ESXi lo convierte en una amenaza capaz de afectar todas las capas de una infraestructura tecnológica moderna.
En México, Estados Unidos y América Latina, muchas organizaciones trabajan con entornos híbridos y virtualizados, lo que las hace especialmente vulnerables. Un solo servidor comprometido puede cifrar múltiples máquinas virtuales y detener operaciones críticas en cuestión de minutos.
Además, el enfoque tradicional de detectar y responder ya no es suficiente. LockBit 5.0 reduce al mínimo la ventana de reacción, lo que obliga a las empresas a reforzar sus estrategias de prevención, segmentación de red, copias de seguridad inmutables y planes sólidos de recuperación ante desastres.
La realidad es que muchas empresas aún tienen brechas en la protección de accesos remotos, la gestión de hipervisores o la seguridad de sus respaldos. Estas debilidades son justo las que LockBit 5.0 aprovecha para causar el mayor daño posible. Prepararse no es opcional: es la única forma de mantener la continuidad operativa frente a este tipo de amenazas.
En TecnetOne, sabemos que enfrentarse a amenazas como LockBit 5.0 requiere mucho más que una simple solución antivirus. Este tipo de ransomware demanda una estrategia completa que combine prevención, detección, respuesta y recuperación.
Por eso, te compartimos algunas buenas prácticas que puedes aplicar (y que forman parte de nuestras soluciones de SOC, XDR, backup y concientización) para reforzar la seguridad de tu infraestructura y mantener tus operaciones a salvo.
Actualiza todo sin demora. Mantén tus sistemas operativos, hipervisores (como VMware ESXi), software de virtualización y aplicaciones críticas al día. LockBit 5.0 suele aprovechar vulnerabilidades en entornos desactualizados.
Segmenta tu red. Separa las áreas críticas (como servidores o hipervisores) del resto de la red y aplica el principio de mínimo privilegio para las cuentas de administración.
Activa la autenticación multifactor (MFA). Usa métodos resistentes al phishing, como llaves de seguridad o estándares FIDO2. Esto dificulta que los atacantes accedan con credenciales robadas.
Refuerza la seguridad en entornos virtuales. Habilita el lockdown mode en ESXi, limita el acceso al shell o interfaz de administración, monitorea cambios de configuración y usa firewalls internos.
Capacita a tu equipo. En TecnetOne impulsamos programas de concientización en ciberseguridad que enseñan a reconocer intentos de phishing, gestionar contraseñas y aplicar buenas prácticas de respaldo.
Implementa soluciones EDR o XDR. Estas herramientas detectan comportamientos anómalos en estaciones de trabajo, servidores Linux, hipervisores y contenedores, cubriendo todo el entorno.
Detecta ataques en memoria. LockBit 5.0 utiliza técnicas como DLL reflection o process hollowing para evadir firmas tradicionales. Un XDR moderno puede detectar este tipo de patrones en tiempo real.
Monitorea tu infraestructura. Vigila accesos inusuales al hipervisor, modificaciones de discos virtuales (VMDKs) o transferencias anómalas de datos. La exfiltración suele ser la antesala del cifrado.
Simula ataques. Realiza ejercicios de ransomware tabletop para evaluar cómo respondería tu organización ante un ataque real: tiempos de detección, comunicación interna y recuperación.
Haz copias de seguridad offline e inmutables. Asegúrate de que tus backups estén fuera del alcance del ransomware, desconectados o protegidos con tecnologías de inmutabilidad. Con TecnetProtect, puedes automatizar este proceso y mantener tus copias seguras en la nube o en entornos locales, con protección avanzada contra modificación o cifrado no autorizado. Así garantizas que tus datos estén siempre disponibles para una restauración rápida y confiable, incluso ante un ataque de ransomware.
Prueba tus restauraciones. Tener respaldos no basta; debes comprobar que realmente se pueden restaurar sin errores.
Diseña planes de continuidad del negocio. Contempla escenarios de cifrado masivo, pérdida de hipervisores o caída total de la virtualización.
Segrega los sistemas de respaldo. Usa herramientas de restauración fuera de la red principal para evitar que LockBit alcance tus copias de seguridad.
En TecnetOne, entendemos que la ciberseguridad no se trata solo de reaccionar, sino de anticiparse. Nuestras soluciones integrales de ciberseguridad están diseñadas para ayudarte a detectar, contener y recuperarte ante amenazas como LockBit 5.0.
Proteger tu empresa no tiene por qué ser complicado: con la estrategia adecuada y las herramientas correctas, puedes mantener tu infraestructura segura y operativa incluso frente a los ataques más sofisticados.