LockBit 5.0

💣 LockBit 5.0: origen, funcionamiento y renovación de imagen del grupo criminal

LockBit es uno de los grupos de ransomware-as-a-service (RaaS) más activos del mundo. Tras varios golpes policiales en 2024 y 2025, el grupo ha lanzado una nueva versión de su plataforma criminal denominada LockBit 5.0. Además de cambios técnicos, esta versión introduce una renovación completa de su logotipo y de su imagen de marca, con el objetivo de atraer nuevos afiliados y aparentar fortaleza tras las operaciones policiales.

---

🧩 ¿De dónde vienen LockBit? (investigación)

Aunque no existe una identificación pública oficial de sus líderes, diversas investigaciones de Europol, FBI, CISA, NCSC-UK y analistas independientes coinciden en varios puntos relevantes:

• Origen probable en Europa del Este (Rusia y países limítrofes). Los servidores, horarios de actividad y foros donde reclutan afiliados coinciden con husos horarios rusos.
• Lenguaje y patrones culturales. Mensajes internos filtrados, errores ortográficos y chats obtenidos tras la incautación policial indican que el idioma principal del equipo es el ruso.
• Normas internas “no atacar a países de la CEI”. Igual que otros grupos (REvil, Conti), LockBit incluye en su código listas de exclusión para evitar cifrar sistemas ubicados en Rusia, Ucrania pró-Rusia, Bielorrusia, Kazajistán o Armenia.
• No hay pruebas de conexión directa con gobiernos, pero los expertos coinciden en que los desarrolladores residen en regiones donde no existe cooperación policial con Europa o EE. UU., lo que les garantiza impunidad.
• Afiliados de múltiples países. Aunque los líderes parecen ser del Este europeo, los “operadores” que lanzan los ataques provienen de EE. UU., LATAM, España y Europa occidental, reclutados en foros clandestinos.
• Estilo profesionalizado. Exmiembros de grupos como Conti migraron a LockBit tras la caída de su infraestructura, aportando conocimientos de intrusión y desarrollo.

En resumen, LockBit no es una “banda pequeña”, sino una organización global con núcleo técnico en Europa del Este y una red extensa de colaboradores repartidos por todo el mundo.

---

🔍 ¿Cómo funciona su modelo RaaS?

• Desarrolladores: crean el malware, paneles y herramientas de cifrado.
• Afiliados: realizan los ataques y despliegan el ransomware.
• Reparto de beneficios: normalmente 70% afiliado / 30% desarrolladores.
• Panel de gestión: LockBit ofrece un portal para negociar rescates, subir datos robados y comunicarse con las víctimas.
• Doble y triple extorsión: robo de datos + cifrado + amenazas de filtración pública.

---

💣 ¿Qué aporta LockBit 5.0?

• Mejor evasión de antivirus y EDR.
• Mayor automatización de ataques.
• Nuevos mecanismos de cifrado híbrido más rápidos.
• Nueva web de filtración de víctimas.
• Nuevo logotipo y diseño de “marca criminal” para captar afiliados.

---

🎭 ¿Por qué renuevan su logotipo?

Tras perder infraestructura y ver su código filtrado por policías y ciberagencias, LockBit intenta enviar un mensaje al “mercado criminal”: “Seguimos vivos. Somos más fuertes. Uníos a nosotros.”

Por eso rediseñan logotipo, banners, tipografías y mensajes. Quieren recuperar su influencia, infundir miedo y atraer a nuevos atacantes. Es puro marketing delictivo.

---

🛡️ ¿Cómo pueden protegerse los usuarios domésticos?

• No pulses enlaces de correos o SMS.
• Haz copias de seguridad periódicas y desconectadas.
• Actualiza tu sistema y aplicaciones.
• Desactiva macros en documentos de Office.
• Activa 2FA en todos tus servicios.
• Instala software solo desde fuentes oficiales.

---

💡 Perspectiva CIBERMURO

LockBit 5.0 demuestra cómo el cibercrimen funciona como un negocio internacional: rebranding, captación de personal, reinversión, innovación continua y campañas mediáticas. La amenaza evoluciona, pero las prácticas básicas de seguridad siguen siendo la mejor defensa.

---

👉 CIBERMURO – Seguridad Digital Sencilla