LockBit 5.0, también conocido como “ChuongDong”, es la versión más reciente del grupo de ransomware LockBit. Activo desde 2019 bajo diferentes nombres, LockBit ha evolucionado constantemente su infraestructura, herramientas, métodos y eficiencia operativa a lo largo de cada versión. En lo que va del año 2026, LockBit 5.0 ha registrado 108 víctimas, de las cuales 6 corresponden a organizaciones en México, posicionando al país entre los 4 más afectados por esta nueva versión. Sus ataques se dirigen principalmente a sectores como la industria manufacturera, la tecnología y el cuidado de la salud.
LockBit 5.0 tiene un alcance multiplataforma capaz de comprometer simultáneamente endpoints, servidores e infraestructura virtual mediante sus variantes para Windows, Linux y ESXi. Para el cifrado de información, las tres variantes usan una mezcla de XChaCha20 y Curve25519, algoritmos ampliamente utilizados en aplicaciones legitimas para garantizar la comunicación segura y cifrado de datos. Con este método, cada archivo cifrado recibe una extensión aleatoria.
La variante de Windows es la más compleja, ya que incorpora técnicas avanzadas de evasión y ejecución. Entre ellas, la capacidad de ejecutar código malicioso dentro de procesos legítimos, desconectar DLL para evadir ser monitoreado a nivel proceso, sobrescribir la API EtwEventWrite con una instrucción de retorno para deshabilitar funciones de rastreo de eventos, aplicar reflexión DLL para cargar payloads directamente en memoria y eliminar todos los logs para dificultar el análisis forense.
A excepción de un par de argumentos y funciones de la línea de comandos, las versiones para Linux y ESXi son muy parecidas. Ambas generan pasos de ejecución por defecto, mientras que Windows utiliza el argumento “-d”. Asimismo, se ha observado compatibilidad con Promox, una plataforma de virtualización de código abierto.
En diciembre del 2025, un investigador expuso el dominio y dirección IP pública asociados a los sitios de LockBit, dicha IP coincide con la IP de la puerta trasera SmokeLoader, lo que sugiere una posible reutilización de infraestructura o colaboración.
El ataque de LockBit 5.0 se estructura en 5 fases principales, comprendiendo desde acceso inicial hasta la extorsión. Entre los principales vectores de ataque se encuentran el phishing, la explotación de vulnerabilidades y la reutilización de credenciales previamente comprometidas.
Después de conseguir el acceso inicial, los atacantes consiguen persistencia con tareas programadas, modificación en el registro y ejecución basada en PowerShell. Asimismo, se hace mal uso de LOLBins para mezclar su actividad con el trafico usual.
En la tercera fase se logra movimiento lateral y escalación de privilegios por medio de propagación de SMB y RDP, extracción de credenciales y robo de control de sesiones. Para la exfiltración de información, se transfieren archivos por servicios en la nube, FTP, o canales de exfiltración personalizados. Se estima que actualmente esta fase toma aproximadamente 72 minutos, lo que representa 213 minutos menos en comparación con 2024.
Por último, LockBit 5.0 emplea un modelo de doble extorsión, combinando el cifrado de archivos y la amenaza de publicar la información exfiltrada en su sitio de filtraciones.
Taxonomía
Tactic
ID
Technique (ID)
Initial Access
T1189
Drive-by Compromise
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1566
Phishing
T1078
Valid Accounts
Execution
T1059.003
Command and Scripting Interpreter: Windows Command Shell
T1059.001
Command and Scripting Interpreter: PowerShell
T1072
Software Deployment Tools
T1569.002
System Services: Service Execution
T1053
Scheduled Task/Job
Persistence
T1547
Boot or Logon Autostart Execution
T1112
Modify Registry
T1078
Valid Accounts
Privilege Escalation
T1548
Abuse Elevation Control Mechanism
T1547
Boot or Logon Autostart Execution
T1484.001
Domain Policy Modification: Group Policy Modification
T1078
Valid Accounts
Defense Evasion
T1480.001
Execution Guardrails: Environmental Keying
T1562.001
Impair Defenses: Disable or Modify Tools
T1070.001
Indicator Removal: Clear Windows Event Logs
T1070.004
Indicator Removal: File Deletion
T1027
Obfuscated Files or Information
T1027.002
Obfuscated Files or Information: Software Packing
Credential Access
T1110
Brute Force
T1555.003
Credentials from Password Stores: Credentials from Web Browsers
T1003
OS Credential Dumping
T1003.001
OS Credential Dumping: LSASS Memory
Discovery
T1046
Network Service Discovery
T1082
System Information Discovery
T1614.001
System Location Discovery: System Language Discovery
Lateral Movement
T1021.001
Remote Services: Remote Desktop Protocol
T1021.002
Remote Services: Server Message Block (SMB)/Admin Windows Shares
T1563
Remote Service Session Hijacking
Collection
T1560.001
Archive Collected Data: Archive via Utility
Command and Control
T1071.002
Application Layer Protocol: File Transfer Protocols
T1071.001
Application Layer Protocol: Web Protocols
T1095
Non-Application Layer Protocol
T1572
Protocol Tunneling
T1219
Remote Access Software
Exfiltration
T1567
Exfiltration Over Web Service
T1567.002
Exfiltration Over Web Service: Exfiltration to Cloud Storage
Monitorear inicios de sesión sospechosos, especialmente en cuentas que comience a asignar permisos administrativos y crear nuevos usuarios.
Establecer reglas de detección de frameworks de Command-and-Control como Silver C2.
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
Limitar estrictamente el uso de los protocolos SMB y RDP.
Realizar auditorías de seguridad. (NIST CSF, 2024)
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
Tener filtros de correo electrónico y spam.
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
Realizar copias de seguridad, respaldos o back-ups constantemente.
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
Revisar continuamente los privilegios de los usuarios.
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
Habilitar la autenticación multifactorial.
Referencias
Montini, H. (2025, abril 6). LockBit 5.0 Ransomware: Technical Analysis, TTPs, and Defensive Guidance. Recuperado el 17 de abril del 2026, en: https://www.provendata.com/blog/lockbit-5
Acronis. (2026, febrero 12). LockBit strikes with new 5.0 version, targeting Windows, Linux and ESXI systems. Recuperado el 17 de abril del 2026, en: https://www.acronis.com/en/tru/posts/lockbit-strikes-with-new-50-version-targeting-windows-linux-and-esxi-systems/
Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises.
Registrada como CVE-2026-45659 y catalogad......
TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......
