Ransomware LockBit 5.0
En septiembre del 2025 se identificó una nueva versión del grupo de ransomware LockBit: LockBit 5.0. Como en versiones anteriores, LockBit 5.0 tiene variantes en sistemas Windows, Linux y VMWare ESXi, además de compartir características de código, algoritmos y métodos, lo que confirma que se trata de los mismos atacantes y no de una imitación. Actualmente, el 15% de las víctimas de esta nueva versión son de Latinoamérica, incluyendo países como México, Argentina y Brasil. Las principales industrias afectadas son tecnología y cuidado de la salud.
LockBit ha desarrollado diferentes versiones de ransomware a lo largo de los últimos años en las cuales se obtiene acceso inicial usando cuentas validas, explotando vulnerabilidades o usando técnicas de ingeniería social como phishing, para después usar diferentes herramientas legitimas como 7-Zip, AdFind, AnyDesk, Chocolatey, PsExec, PowerTool, FileZilla, StealBit, etc. para reconocer redes, obtener acceso remoto, robar credenciales y exfiltrar información.
Entre las mejoras más relevantes de esta nueva versión se incluyen extensiones de archivo de 16 caracteres e interfaz de usuario más amigable, así como nuevas capacidades para borrar registros de eventos después del cifrado y para evitar su ejecución en sistemas con lenguaje ruso mediante comprobaciones de geolocalización.
Una novedad en Windows es que se puede usar el parámetro -h para acceder a información de ayuda, además de contar con diferentes opciones y configuraciones personalizadas para ejecutar el ransomware, tales como: especificación de directorios por encriptar, modos de operación como modo invisible, configuraciones de notas y opciones de filtrado. Esta variante utiliza técnicas para complicar su análisis como ofuscación y empaquetado, cargar su payload malicioso mediante reflexión de DLL, actualizar la API Event Tracing for Windows (ETW) sobrescribiéndola con una instrucción 0XC3, finalizar 63 servicios de seguridad y usar la API EvtClearLog para borrar los logs después de cifrar la información.
En cuanto a Linux, la interfaz de línea de comandos cuenta con el mismo formato y las mismas funciones que en Windows. Durante la ejecución, se puede ver a detalle los logs donde se aprecia que archivos se están encriptando y los que se excluyeron deliberadamente.
La variante en sistemas ESXi representa una evolución significativa del grupo ya que podría comprometer entornos virtualizados completos que cuentan con cientos de máquinas virtuales. Al igual que las otras variantes, su interfaz de línea de comandos es flexible y fácil de usar, permitiendo especificar parámetros para encriptar máquinas virtuales con opción de elegir los directorios y archivos.
Después de encriptar todos los archivos, se genera una nota de rescate llamada “ReadMeForDecrypt.txt” en la cual se incluye principalmente un enlace a su sitio de filtración y otro enlace a un chat donde sus víctimas pueden comunicarse con ellos usando el identificador proporcionado.
[1] Nota de rescate del ransomware LockBit 5.0
Para poder acceder al sitio de filtraciones de LockBit, se requiere ingresar una clave única como primer factor de autenticación, después completar una verificación de CAPTCHA, registrar una cuenta y pagar una cuota de $500 dólares en criptomonedas.
[2] Sitio de filtraciones de ransomware LockBit 5.0
Taxonomía
|
Tactic |
ID |
Technique (ID) |
|
Initial Access |
T1189 |
Drive-by Compromise |
|
T1190 |
Exploit Public-Facing Application |
|
|
T1133 |
External Remote Services |
|
|
T1566 |
Phishing |
|
|
T1078 |
Valid Accounts |
|
|
Execution |
T1059.003 |
Command and Scripting Interpreter: Windows Command Shell |
|
T1072 |
Software Deployment Tools |
|
|
T1569.002 |
System Services: Service Execution |
|
|
Persistence |
T1547 |
Boot or Logon Autostart Execution |
|
T1078 |
Valid Accounts |
|
|
Privilege Escalation |
T1548 |
Abuse Elevation Control Mechanism |
|
T1547 |
Boot or Logon Autostart Execution |
|
|
T1484.001 |
Domain Policy Modification: Group Policy Modification |
|
|
T1078 |
Valid Accounts |
|
|
Defense Evasion |
T1480.001 |
Execution Guardrails: Environmental Keying |
|
T1562.001 |
Impair Defenses: Disable or Modify Tools |
|
|
T1070.001 |
Indicator Removal: Clear Windows Event Logs |
|
|
T1070.004 |
Indicator Removal: File Deletion |
|
|
T1027 |
Obfuscated Files or Information |
|
|
T1027.002 |
Obfuscated Files or Information: Software Packing |
|
|
Credential Access |
T1110 |
Brute Force |
|
T1555.003 |
Credentials from Password Stores: Credentials from Web Browsers |
|
|
T1003 |
OS Credential Dumping |
|
|
T1003.001 |
OS Credential Dumping: LSASS Memory |
|
|
Discovery |
T1046 |
Network Service Discovery |
|
T1082 |
System Information Discovery |
|
|
T1614.001 |
System Location Discovery: System Language Discovery |
|
|
Lateral Movement |
T1021.001 |
Remote Services: Remote Desktop Protocol |
|
T1021.002 |
Remote Services: Server Message Block (SMB)/Admin Windows Shares |
|
|
Collection |
T1560.001 |
Archive Collected Data: Archive via Utility |
|
Command and Control |
T1071.002 |
Application Layer Protocol: File Transfer Protocols |
|
T1071.001 |
Application Layer Protocol: Web Protocols |
|
|
T1095 |
Non-Application Layer Protocol |
|
|
T1572 |
Protocol Tunneling |
|
|
T1219 |
Remote Access Software |
|
|
Exfiltration |
T1567 |
Exfiltration Over Web Service |
|
T1567.002 |
Exfiltration Over Web Service: Exfiltration to Cloud Storage |
|
|
Impact |
T1485 |
Data Destruction |
|
T1486 |
Data Encrypted for Impact |
|
|
T1491.001 |
Defacement: Internal Defacement |
|
|
T1490 |
Inhibit System Recovery |
|
|
T1489 |
Service Stop |
Indicadores de Compromiso
|
IOC |
Tipo |
|
48b0a4505a96a640300e43e2af712276 |
FileHash-MD5 |
|
8f718979876dd1050ce4f729d69e0072 |
FileHash-MD5 |
|
2513d6678b476a432af2e84fff485b44 |
FileHash-MD5 |
|
c462c6b02b35df2910689947c5090fae |
FileHash-MD5 |
|
e47032b3d1b9cbbcf77741d5d260004d |
FileHash-MD5 |
|
95daa771a28eaed76eb01e1e8f403f7c |
FileHash-MD5 |
|
ca93d47bcc55e2e1bd4a679afc8e2e25 |
FileHash-MD5 |
|
a1539b21e5d6849a3e0cf87a4dc70335 |
FileHash-MD5 |
|
5e1f61b9c1c27cad3b7a81c804ac7b86 |
FileHash-MD5 |
|
274e5ff2aa33e7ec980700e617eb2214 |
FileHash-MD5 |
|
eb0c1d82187ec3fe980eed2419875e4b |
FileHash-MD5 |
|
2908589ca1a1f5d98c7f71563a3abac6 |
FileHash-MD5 |
|
bf4443f6dbbdee8816aa9a1098374326 |
FileHash-MD5 |
|
205.185.116.233 |
IPv4 |
Recomendaciones
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Trend Micro. (2025, Septiembre 25). New LockBit 5.0 Targets Windows, Linux, ESXi. Recuperado el 8 de diciembre de 2025, en: https://www.trendmicro.com/en_us/research/25/i/lockbit-5-targets-windows-linux-esxi.html
- Baran, G. (2025, Septiembre 25). New LockBit 5.0 Ransomware Variant Attacking Windows, Linux, and ESXi Systems. Cyber Security News. Recuperado el 8 de diciembre de 2025, en: https://cybersecuritynews.com/new-lockbit-5-0-ransomware-variant/
- SonicWall. (2025, Octubre 24). LockBit 5.0: Understanding the Latest Developments in Ransomware Threats. Recuperado el 8 de diciembre de 2025, en: https://www.sonicwall.com/es-mx/blog/lockbit-5-0-understanding-the-latest-developments-in-ransomware-threats
- Divya. (2025, Diciembre 8). LockBit 5.0 Infrastructure Exposed as Hackers Leak Critical Server Data. GbHackers. Recuperado el 8 de diciembre de 2025, en: https://gbhackers.com/lockbit-5-0-infrastructure-exposed/
- CISA. (2023, Junio 14). Understanding Ransomware Threat Actors: LockBit. Recuperado el 8 de diciembre de 2025, en: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a
