El grupo de ransomware LockBit ha regresado con una nueva variante, LockBit 5.0, que apunta a organizaciones en todo el mundo tras las interrupciones de la Operación Cronos a principios de 2024. En septiembre de 2025, investigadores identificaron una docena de víctimas en Europa Occidental, las Américas y Asia, con la nueva versión involucrada en la mitad de los ataques. Check Point Research confirma esfuerzos activos de extorsión utilizando esta amenaza multiplataforma.
El regreso de LockBit comenzó de manera sutil, pero ganó impulso en 2025. En mayo de 2025, el administrador del grupo, LockBitSupp, publicó en el foro RAMP: “Siempre nos levantamos después de ser hackeados”. Para agosto, anunció que el grupo estaba “volviendo al trabajo”. El regreso oficial llegó a principios de septiembre de 2025, cuando LockBitSupp declaró la reactivación de la operación en foros clandestinos e inició el reclutamiento de nuevos afiliados.
Este resurgimiento siguió a la Operación Cronos, un esfuerzo de las fuerzas del orden a principios de 2024 que interrumpió al grupo. A pesar del derribo, la infraestructura madura de LockBit, su reputación y su red de afiliados permitieron una recuperación rápida. La nueva variante LockBit 5.0, llamada internamente “ChuongDong”, soporta sistemas Windows, Linux y ESXi, permitiendo ataques en entornos híbridos y virtualizados. Alrededor del 80% de los ataques observados en septiembre apuntaron a Windows, mientras que el 20% se centraron en ESXi y Linux.
Las mejoras técnicas en LockBit 5.0 incluyen mecanismos anti-análisis más fuertes para obstaculizar la forense, encriptación optimizada para acortar los tiempos de respuesta de los defensores, y extensiones de archivo aleatorias de 16 caracteres para una mejor evasión. El panel de control de afiliados ahora ofrece una gestión mejorada con credenciales individuales. Los nuevos afiliados deben depositar alrededor de $500 en Bitcoin para acceder a las herramientas. Las notas de rescate especifican LockBit 5.0 y proporcionan enlaces de negociación personalizados con un plazo de 30 días antes de la publicación de datos.
Las docenas de víctimas de septiembre marcan el inicio de lo que podría ser una campaña más grande, ya que la actividad clandestina continúa en octubre. Esto resalta la resiliencia de los modelos de ransomware como servicio frente a las acciones de aplicación de la ley. Las organizaciones enfrentan la necesidad de defensas que cubran perímetros de red, puntos finales y detección multiplataforma para contrarrestar tales amenazas.