Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
1797
)
-
▼
septiembre
(Total:
148
)
-
Jaguar Land Rover sigue en crisis por un ciberataq...
-
Electronic Arts acuerda su venta a un consorcio de...
-
Samsung presenta en China un SSD de 256 TB PCIe 6.0
-
Dos adolescentes holandeses detenidos por intentar...
-
Características de nuevo ransomware LockBit 5.0 pa...
-
Vulnerabilidad de secuestro de DLL de Notepad++
-
Brave mejora su función de búsqueda con IA
-
Facebook presenta Fan Hub y nuevas funciones para ...
-
La mayor cervecera de Japón suspende sus operacion...
-
El curioso caso de los SSD que fallan a los 3 años...
-
Amazon indemnizará con 1.300 millones de euros a l...
-
Nextcloud Hub 25 Autumn: novedades, nueva nomencla...
-
Claude Sonnet 4.5 es probablemente el “mejor model...
-
Gemini se actualiza y ahora es más inteligente y r...
-
xAI carga otra vez contra OpenAI, ahora por supues...
-
Europa prepara una multa contra Meta por su forma ...
-
La app para iPhone Neon te paga por grabar tus lla...
-
Google revoluciona las búsquedas y lanza el Modo I...
-
La UE da pasos para restringir la edad de acceso a...
-
¿Qué es el Thermal Throttling?
-
TDP en CPU, conoce el valor que siempre se confund...
-
Logitech presenta un teclado que nunca tendrás que...
-
Rate Limit con NGINX
-
Qwen3-Max: la IA más avanzada de China con 1 billó...
-
Una pareja de jubilados pierde 290.000 euros, todo...
-
Estados Unidos desmantela una amenaza a las teleco...
-
Cloudflare recibe el mayor ataque DDoS registrado:...
-
Ya puedes traducir mensajes de WhatsApp sin salir ...
-
Kali Linux 2025.3 llega con Nexmon y 10 nuevas her...
-
Claude, la IA de Anthropic, se une Microsoft 365 C...
-
LinkedIn utilizará tus datos y perfil para aliment...
-
Qwen3-Omni, la IA open source de Alibaba
-
Compra una NVIDIA RTX 5080 en Amazon y recibe un l...
-
La última de DOOM es hacerlo funcionar en la panta...
-
La Casa Blanca confirma que Oracle se encargará de...
-
Dazn pide "la misma concienciación" con la pirater...
-
Microsoft anuncia el datacenter de IA más potente ...
-
Samsung ha subido el precio de su memoria DRAM y N...
-
Nvidia invertirá hasta 100.000 millones de dólares...
-
LibreWolf, el navegador basado en Firefox que resp...
-
Facebook Parejas usará la IA para ayudarte a encon...
-
Grok, la IA de Elon Musk, ha consumido para entren...
-
Europa propone acabar con los molestos avisos de l...
-
Se gastan hasta 2.000 euros en un iPhone 17 Pro Ma...
-
La Audiencia Nacional investiga una nueva filtraci...
-
Trujillo: Filtran datos confidenciales de más de 2...
-
YouTube Anti Translate: Cómo bloquear el doblaje a...
-
Cómo crear gratis un mapa de cobertura WiFi de tu ...
-
Un banco despide a miles de trabajadores por tener...
-
Security Onion: guía completa sobre esta distro de...
-
MalTerminal: el primer malware que integra GPT-4 p...
-
Google soluciona su sexta vulnerabilidad 0-day en ...
-
Protección contra DDoS de OPNsense
-
Riesgos de las eSIM para viajes: redirigen datos a...
-
Steam pone fin al soporte para sistemas de 32 bits...
-
Una PS5 en un maletín con pantalla de 15 pulgadas ...
-
¿Tienes una nevera inteligente de Samsung? Ahora v...
-
La estafa del 'astronauta en apuros': una mujer pi...
-
Tus ‘streamers’ favoritos te han estado mintiendo ...
-
Ratty: un troyano que se propaga en latinoamérica ...
-
Gemini gana el oro en el mundial de programación y...
-
Nvidia invierte 5.000M$ en Intel y conjuntamente d...
-
Microsoft elimanará WMIC en la actualización Windo...
-
Guía: ¿Qué monitor comprar en 2025?
-
Bitdefender frente a Windows Defender, ¿afectan lo...
-
Las gafas Meta Ray-Ban Display se hacen oficiales,...
-
Tiny11 te permitirá dar el salto a Windows 11 25H2...
-
Estados Unidos ofrece 11M$ por la captura de un uc...
-
Google presenta su app de escritorio para Windows
-
YouTube ayudará a los creadores de contenidos a co...
-
¿Para qué utiliza la gente ChatGPT?
-
Un profesor español captado por Rusia difunde dato...
-
La guerra entre Internet Archive y las discográfic...
-
Descubren cómo identificar el móvil exacto que sac...
-
Una filtración de datos revela cómo funciona la ce...
-
Así cayeron el ciberejército de Putin y sus 'minio...
-
Precios de reparación del iPhone 17 y iPhone Air
-
AIDA 64 celebra su 30º cumpleaños con la versión 8...
-
El precio de los discos duros y de los SSDs va a s...
-
Los fundadores de internet rechazan el bloqueo que...
-
Nunca le robes el móvil a la novia de un hacker
-
VMScape: la nueva vulnerabilidad que rompe el aisl...
-
Filtradas las nuevas gafas inteligentes de Meta de...
-
El primer disco duro del mundo es de 1956: 3,75 MB...
-
La historia del auge y la decadencia del IRC
-
Windows 11 integrará un test de velocidad
-
La Guardia Civil detiene a un menor como presunto ...
-
EEUU acuerda con China la venta de TikTok
-
Super Mario Bros. revive en PC con remake no ofici...
-
Los creadores de TikTok lanzan una IA que genera m...
-
Albania nombra a una IA "ministro" de contratación...
-
Ni fibra óptica ni 5G, así era conectarse a intern...
-
Europa estrena JUPITER, un superordenador del tama...
-
Cómo copiar texto de una imagen o PDF con una capt...
-
Premios AI Darwin 2025: un reconocimiento a los de...
-
Microsoft PowerToys: todas las utilidades para per...
-
Apple presenta los AirPods Pro 3
-
Meta fabricará unas gafas de combate con IA para E...
-
Exresponsable de Ciberseguridad de WhatsApp demand...
-
Apple iPhone 17, con pantallas mejoradas y batería...
-
-
▼
septiembre
(Total:
148
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que... -
En una campaña que se intensifica y que apunta a la infraestructura de acceso remoto, actores de amenazas han iniciado intentos de explotaci... -
Un usuario de criptomonedas pierde 9.000 dólares en segundos después de hacer clic en un anuncio de Instagram que prometía ganancias fáciles...
Características de nuevo ransomware LockBit 5.0 para Windows, Linux y ESXi
Trend Research ha identificado y analizado los binarios fuente de la nueva versión 5 de LockBit, lo que representa el último avance del grupo tras la operación policial de febrero de 2024 (Operación Cronos) que interrumpió su infraestructura. A principios de septiembre, el grupo de ransomware LockBit reapareció con motivo de su sexto aniversario, anunciando el lanzamiento de "LockBit 5.0".
- Las nuevas variantes utilizan extensiones de archivo aleatorias de 16 caracteres, sistema de evasión del idioma ruso, y borran el registro eventos después del cifrado
Trend Research comenzó el análisis que inicialmente detectó una variante para Windows y confirmó la existencia de variantes de LockBit 5.0 para Linux y ESXi.
La variante de LockBit 5.0 para Windows utiliza una ofuscación y empaquetamiento intensivos, cargando su carga útil mediante la reflexión de DLL e implementando una técnica de antianálisis. La variante para Linux ofrece una funcionalidad similar, con opciones de línea de comandos para atacar directorios y tipos de archivo específicos.
Las nuevas variantes utilizan extensiones de archivo aleatorias de 16 caracteres, evitan el uso del idioma ruso y borran el registro de eventos después del cifrado.
LockBit 5.0 también cuenta con un ESXi dedicado que se dirige a la infraestructura de virtualización ESXi de VMware. La variante ESXi se dirige específicamente a la infraestructura de virtualización de VMware, diseñada para cifrar máquinas virtuales.
La existencia de variantes para Windows, Linux y ESXi confirma la continua estrategia multiplataforma de LockBit, que permite ataques simultáneos en redes empresariales completas, incluidos entornos virtualizados. La ofuscación intensa y las mejoras técnicas en todas las variantes hacen que LockBit 5.0 sea significativamente más peligroso que sus predecesores.
La investigación también revela que estas versiones más recientes comparten comportamientos clave: extensiones de archivo aleatorias de 16 caracteres, evasión del sistema en ruso mediante comprobaciones de geolocalización y borrado del registro de eventos tras el cifrado. La versión 5.0 también comparte características de código con LockBit 4.0, incluyendo algoritmos de hash y métodos de resolución de API idénticos, lo que confirma que se trata de una evolución del código base original y no de una imitación.
Análisis de LockBit 5.0 para Windows
La nueva versión presenta una interfaz de usuario mejorada con un formato limpio, algo inédito en versiones anteriores. Describe diversas opciones y configuraciones para ejecutar el ransomware, incluyendo opciones básicas como especificar directorios para cifrar o eludirlos, modos de operación como el modo invisible y el modo detallado, configuración de notas, configuración de cifrado, opciones de filtrado y ejemplos de uso. Los comandos y parámetros detallados ilustran la flexibilidad y personalización disponibles para el atacante.
Tras su ejecución, el ransomware genera su nota de rescate característica y dirige a las víctimas a un sitio web dedicado a la filtración. La infraestructura mantiene el modelo de interacción con las víctimas establecido por LockBit, con una sección optimizada de "Chat con soporte" para la negociación del rescate.
El proceso de cifrado añade extensiones aleatorias de 16 caracteres a los archivos, lo que dificulta la recuperación. A diferencia de algunas variantes de ransomware que utilizan marcadores de infección comunes, LockBit 5.0 omite los marcadores tradicionales al final de los archivos. Sin embargo, el análisis reveló patrones consistentes, incluyendo el tamaño original del archivo incrustado en el pie de página del archivo cifrado.
Análisis de LockBit 5.0 para Linux
La versión 5.0 para Linux presenta características similares a su versión para Windows, lo que demuestra el compromiso de LockBit con la compatibilidad multiplataforma. La interfaz de línea de comandos refleja el formato y la funcionalidad de la versión para Windows, ofreciendo a los atacantes la misma flexibilidad operativa en ambas plataformas.
Durante la ejecución, la variante para Linux proporciona un registro detallado de sus actividades, mostrando los archivos que se van a cifrar y las carpetas designadas para excluir. Esta transparencia en los registros de operaciones sugiere que la variante puede utilizarse en entornos de prueba o por afiliados que requieran información detallada sobre la ejecución.
Análisis de LockBit 5.0 ESXi
Una investigación más profunda reveló una variante ESXi dedicada de LockBit 5.0, dirigida específicamente a la infraestructura de virtualización de VMware. Esta variante representa una escalada crítica en las capacidades de LockBit, ya que los servidores ESXi suelen alojar múltiples máquinas virtuales, lo que permite a los atacantes cifrar entornos virtualizados completos con una sola ejecución de carga útil.
La variante ESXi mantiene la misma estructura de interfaz de línea de comandos que sus homólogas de Windows y Linux, lo que garantiza la consistencia operativa para los atacantes en todas las plataformas. El menú de ayuda muestra parámetros específicos de ESXi optimizados para el cifrado de máquinas virtuales, incluyendo opciones para directorios específicos y archivos de configuración de máquinas virtuales.
Esta variante de ESXi demuestra el enfoque estratégico de LockBit en maximizar el impacto mediante la infraestructura de virtualización. Un solo host ESXi comprometido puede generar docenas o cientos de máquinas virtuales cifradas, lo que amplifica significativamente el potencial de interrupción del negocio del ataque.
LockBit 4.0 versus LockBit 5.0
Un análisis comparativo entre LockBit 4.0 y 5.0 revela una reutilización significativa del código y un desarrollo evolutivo, en lugar de una reescritura completa. Ambas versiones comparten algoritmos hash idénticos para operaciones con cadenas, un componente crítico para la resolución de API y la identificación de servicios. La estructura del código para la resolución dinámica de API se mantiene notablemente similar entre versiones, lo que sugiere que los desarrolladores se basaron en el código base existente de LockBit 4.0.
LockBit es uno de los grupos de ransomware como servicio (RaaS) más conocidos, que se ha mantenido constantemente a la vanguardia de sus competidores gracias a una agresiva evolución de sus técnicas y tácticas. A pesar de la Operación Cronos, los criminales responsables del grupo demuestran resiliencia, con las tres variantes de la versión 5.0 confirmadas.
Las organizaciones deben garantizar la implementación de defensas integrales multiplataforma, con especial atención a la protección de la infraestructura de virtualización. Las variantes de LockBit 5.0 para Windows, Linux y ESXi refuerzan la idea de que ningún sistema operativo o plataforma puede considerarse a salvo de las campañas modernas de ransomware.
Línea de Tiempo — Historia de LockBit
- Septiembre 2019 –
🔹 Aparición inicial del ransomware LockBit, originalmente conocido como “ABCD”.
🔹 Comienza a operar bajo el modelo Ransomware-as-a-Service (RaaS), permitiendo que afiliados usen su malware a cambio de un porcentaje del rescate. - 2020 –
🔹 LockBit mejora su cifrado y gana notoriedad por su alta velocidad de cifrado.
🔹 Empieza a implementar doble extorsión: cifran los datos y amenazan con publicarlos si no se paga. - Junio 2021 –
🔹 Lanza LockBit 2.0, una versión más sofisticada del ransomware.
🔹 Aumentan las víctimas en sectores críticos: salud, educación, manufactura. - Marzo 2022 –
🔹 Aparece LockBit 3.0 (también conocido como “LockBit Black”), con código influenciado por otros ransomware como BlackMatter.
🔹 Incluye sistema de recompensas por vulnerabilidades (bug bounty), algo inusual en grupos criminales. - 2023 –
🔹 LockBit se mantiene como el grupo de ransomware más activo del mundo, según varias agencias de ciberseguridad.
🔹 Aumentan los ataques dirigidos a gobiernos, empresas multinacionales y entidades sanitarias. - Febrero 2024 –
🔹 Golpe internacional: La operación “Operation Cronos”, liderada por la Interpol, el FBI, Europol y otras agencias, logra infiltrar y desmantelar infraestructuras clave de LockBit.
🔹 Se incauta la web de filtraciones del grupo y se revelan herramientas internas. - Marzo–septiembre 2024 –
🔹 A pesar del golpe, algunos afiliados intentan reconstituir LockBit o usar versiones anteriores del ransomware.
🔹 Se observa una disminución significativa de su actividad, pero no desaparición total. - 🔹 Anuncio de la versión 4.0, aunque nunca se llegó a desplegar completamente.
- Septiembre 2025 –
🔹 Reportes afirman la llegada de Lockbit 5.0, la nueva variante del ransomware.
Fuente: TrendMicro
Vía:
https://blog.segu-info.com.ar/2025/09/caracteristicas-de-nuevo-lockbit-50.html
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.