LockBit evoluciona y se convierte en una amenaza sin precedentes | TIC Defense te lo cuenta
Se ha identificado una nueva variante del ransomware LockBit, el cual es significativamente más peligrosa que las versiones anteriores y que ya está siendo utilizada en ataques reales.
El conocido grupo de ciberdelincuentes detrás de LockBit ha anunciado en el mes de septiembre el lanzamiento de LockBit 5.0, con motivo de su sexto aniversario. Desde entonces, diversos investigadores de ciberseguridad han descubierto un archivo binario para Windows y han confirmado también la existencia de variantes para Linux y ESXi, según informes publicados hace días.
Los especialistas han señalado que la presencia de versiones para Windows, Linux y ESXiha confirmado la estrategia multiplataforma de este ransomware, lo que le permite ejecutar ataques simultáneos en toda una red corporativa, desde estaciones de trabajo hasta servidores críticos que alojan bases de datos y plataformas de virtualización.
Además, la nuevas variantes ofrecen opciones de configuración más detalladas para los afiliados, ampliando la personalización del despliegue de este ransomware.
Del mismo modo, LockBit 5.0 incluye mejoras técnicas notables, como la eliminación de marcadores de infección, una velocidad de cifrado superior y mecanismos de evasión más sofisticados. Los investigadores advirtieron que, a pesar del operativo policial que desmanteló parte de la infraestructura de LockBit en el 2024, el grupo ha demostrado gran capacidad de adaptación y resiliencia, manteniéndose por delante de sus competidores mediante una evolución agresiva de sus tácticas, técnicas y procedimientos.
En el análisis técnico, los especialistas han destacado que la versión de Windows de LockBit 5.0 presenta una interfaz más clara y organizada para sus operadores. Esta describe diversas opciones de ejecución, como especificar carpetas a cifrar o excluir, modos de operación invisibles o detallados, configuración de notas de rescate, parámetros de cifrado, filtros y ejemplos de uso.
El ransomware es uno de los tipos de malware más peligrosos para usuarios y empresas, debido a su capacidad para robar y cifrar información importante. Por ello, TIC Defense pone a disposición de tu compañía un conjunto de productos y soluciones destinadas a combatir el ransomware, mediante técnicas preventivas y de respuesta rápida a incidentes.
Según los investigadores, el nivel de detalle en los comandos y parámetros ha demostrado la flexibilidad y personalización que LockBit ofrece a los hackers maliciosos.
Al ejecutarse el ransomware, este genera su nota de rescata habitual y dirige a las víctimas a un sitio de filtraciones exclusivo. Esta plataforma mantiene el modelo de interacción tradicional de LockBit, con una sección de chat con soporte, destinada al proceso de rescate.
Una de las cosas nuevas es la introducción de extensiones aleatorias de 16 caracteres a los archivos cifrados, lo que dificulta aún más la recuperación. Del mismo modo, LockBit 5.0 elimina los marcadores típicos al final de los archivos, complicando el análisis forense.
Igualmente, aplica también técnicas contra investigaciones forenses avanzadas, como modificar la API llamada EtwEventWrite, suscribiéndola con una construcción de retorno, lo que puede desactivar las capacidades de rastreo de eventos de Windows. Al igual que en versiones anteriores, el malware realiza verificaciones de geolocalización y detiene su ejecución si detecta configuraciones de idioma o ubicaciones rusas.
Las características observadas en la versión de Windows se replican en las variantes para Linux y ESXi. Esta última, representa una escalada crítica en las capacidades del grupo debido a que apunta a la infraestructura de virtualización de VMware, lo que permite cifrar múltiples máquinas virtuales con una ejecución del payload.
