¿Qué hacía a LockBit diferente de otros programas RaaS?

LockBit destacaba por su velocidad de cifrado (intermitente al 4%), su programa de afiliados agresivo (80% para el afiliado), su herramienta propietaria de exfiltración StealBit, su bug bounty program, y su marketing en foros underground. Era el ransomware más rápido en benchmarks y el programa más prolífico por volumen de víctimas.

¿Qué fue Operation Cronos?

Operación multinacional liderada por NCA (Reino Unido) y FBI en febrero de 2024. Incautaron 34 servidores en 8 países, obtuvieron más de 1.000 claves de descifrado, identificaron públicamente al administrador (Dmitry Khoroshev) y congelaron 200+ cuentas de criptomonedas.

¿Cuántas víctimas tuvo LockBit?

Más de 1.700 víctimas documentadas en su leak site antes de Operation Cronos. Es probable que el número real sea superior, ya que muchas víctimas pagan antes de ser publicadas.

¿LockBit sigue activo después de Operation Cronos?

LockBitSupp intentó relanzar la operación con nueva infraestructura tras Operation Cronos, pero la pérdida de credibilidad entre afiliados, la identificación pública del administrador y la incautación de claves de descifrado redujeron drásticamente su capacidad operativa.

¿Qué es el cifrado intermitente de LockBit?

LockBit 3.0 cifra solo el 4% de cada archivo, distribuido en bloques. Un archivo de 10 GB se cifra en segundos porque solo se procesan ~400 MB. El archivo queda inutilizable pero el proceso es extremadamente rápido, dejando poco tiempo para la detección.

AvanzadoransomwareLockBitRaaSOperation CronosMITRE ATT&CK

LockBit: Deep Dive Técnico del Programa RaaS Más Prolífico de la Historia

Análisis técnico completo de LockBit: desde ABCD hasta LockBit 3.0 (Black), su modelo RaaS, cifrado intermitente, variantes ESXi/Linux, StealBit, Operation Cronos y la identificación de LockBitSupp. El ransomware más prolífico de 2022-2024.

MalwareIntel Research·21 de mayo de 2026·10 min lectura

Serie: Ransomware — Parte 7

El ascenso del ransomware más prolífico

LockBit dominó el ecosistema de ransomware entre 2022 y 2024. En su punto máximo, era responsable de más ataques de ransomware que los siguientes tres grupos combinados. Su éxito no fue accidental: combinó innovación técnica (cifrado intermitente, StealBit), un modelo de negocio agresivo (80% para afiliados, bug bounty) y una presencia de marketing sin precedentes en foros underground.

Este artículo analiza LockBit desde su primera versión hasta su disrupción por Operation Cronos, cubriendo la evolución técnica, el modelo operativo y las lecciones para los defensores.

Evolución: de ABCD a LockBit 3.0

Timeline

Versión	Fecha	Nombre	Innovación clave
ABCD	Sep 2019	"ABCD ransomware" (extensión .abcd)	Primera versión, capacidades básicas
LockBit 1.0	Ene 2020	LockBit	Programa RaaS formal, extensión .lockbit
LockBit 2.0	Jun 2021	LockBit Red	StealBit para exfiltración automatizada, cifrado más rápido
LockBit 3.0	Jun 2022	LockBit Black	Cifrado intermitente, anti-analysis, bug bounty, código basado en BlackMatter
LockBit Green	Ene 2023	Variante basada en código Conti	Incorporación de código filtrado de Conti
LockBit para macOS	Abr 2023	Variante ARM64	Experimental, no desplegada en ataques reales

LockBit 1.0: los cimientos

La primera versión estableció el modelo de negocio pero era técnicamente modesta. Usaba AES + RSA estándar, tenía un panel de afiliados básico y la extensión .lockbit en los archivos cifrados. Su principal diferenciador era la velocidad: ya desde v1, LockBit priorizaba el rendimiento del cifrado sobre la completitud.

LockBit 2.0 (Red): StealBit y marketing

LockBit 2.0 introdujo dos innovaciones significativas:

StealBit: herramienta propietaria de exfiltración de datos. A diferencia de otros grupos que usaban Rclone o herramientas genéricas, LockBit desarrolló su propio binario optimizado para exfiltración rápida hacia su propia infraestructura. StealBit era distribuido a afiliados junto con el builder del ransomware.

Marketing agresivo: LockBit 2.0 se promocionaba activamente en foros underground con benchmarks de velocidad, comparativas con competidores y testimonios de afiliados satisfechos. El administrador LockBitSupp era una figura prominente en Exploit y XSS Forums.

La nota de rescate de LockBit 2.0 incluía un mensaje de reclutamiento: ofrecía a empleados de las víctimas millones de dólares por proporcionar acceso VPN o credenciales RDP a sus propias empresas.

LockBit 3.0 (Black): la versión definitiva

LockBit 3.0 fue un salto técnico significativo. El análisis del código reveló que incorporaba técnicas de BlackMatter (sucesor de DarkSide), sugiriendo que LockBit reclutó o compró código de desarrolladores de BlackMatter.

Innovaciones técnicas de LockBit 3.0:

Cifrado intermitente al 4%: solo se cifra una fracción del archivo, distribuida en bloques. El rendimiento es extraordinario: en benchmarks controlados, LockBit 3.0 cifraba 53 GB en 4 minutos y 9 segundos.

Anti-analysis avanzado: el payload requiere una contraseña para ejecutarse (pasada como argumento de línea de comandos). Sin la contraseña, el binario no puede ser analizado en un sandbox. Esto dificulta enormemente el análisis automatizado.

Autodestrucción: tras completar el cifrado, el binario se elimina a sí mismo y borra sus propias trazas.

Protección anti-debug: múltiples checks de debugging, timing checks y detección de máquinas virtuales.

Arquitectura técnica

Motor de cifrado

Componente	LockBit 2.0	LockBit 3.0
Cifrado simétrico	AES-256-CTR	AES-256-CTR (con opción ChaCha20)
Cifrado asimétrico	RSA-2048	RSA-2048 / Curve25519
Threading	Multihilo (IOCP)	Multihilo (IOCP), configurable
Cifrado parcial	Configurable	Intermitente 4% por defecto
Rendimiento	~370 MB/s	~470 MB/s

I/O Completion Ports (IOCP)

LockBit usa IOCP de Windows para operaciones de archivo asíncronas. En vez de leer-cifrar-escribir cada archivo secuencialmente, lanza múltiples operaciones de I/O simultáneas y las procesa a medida que completan. Esto maximiza el uso del disco y de los cores de CPU.

Enumeración de archivos y exclusiones

LockBit 3.0 mantiene listas de exclusión hardcodeadas:

Directorios excluidos: Windows, Program Files, Program Files (x86), $Recycle.Bin, System Volume Information, Boot, ProgramData\Microsoft, All Users\Microsoft

Extensiones excluidas: .exe, .dll, .sys, .msi, .drv, .ini, .lnk, .url, .ico, .lock (propia extensión)

Archivos excluidos: ntldr, ntdetect.com, bootmgr, autorun.inf, desktop.ini

Comprobación de idioma: aborta si detecta idiomas de la CEI (ruso, ucraniano, bielorruso, kazajo, uzbeko, azerbaiyano, armenio, georgiano, tayiko, turkmeno, kirguís, moldavo)

Variantes Linux/ESXi

LockBit desarrolló variantes específicas para entornos no-Windows:

LockBit Linux/ESXi: escrito en C, usa AES-256-CBC + RSA-2048. Objetivos principales:

Archivos VMDK de máquinas virtuales VMware
Archivos de configuración VMX
Datastores de ESXi
NAS Linux (SMB/NFS shares)

El cifrado de ESXi es particularmente destructivo porque una sola máquina ESXi puede alojar docenas de VMs. Cifrar los archivos VMDK paraliza todas las VMs de un host simultáneamente.

Modelo de negocio

Programa de afiliados

Aspecto	Detalle
Reparto	80% afiliado, 20% operador (el más generoso del mercado)
Depósito de entrada	No requerido inicialmente (cambió en versiones posteriores)
Builder	Generador de payloads personalizable (extensión, nota, exclusiones)
Panel	Dashboard web en Tor con gestión de víctimas
StealBit	Herramienta de exfiltración propietaria incluida
Leak site	Publicación automatizada con countdown
Soporte	Chat de soporte técnico para afiliados
Decryptor	Generación automática tras confirmación de pago

Bug bounty program

LockBit fue el primer grupo de ransomware en ofrecer un programa de bug bounty:

1.000 USD por reportar vulnerabilidades en su infraestructura web
Bonificaciones por vulnerabilidades críticas
Recompensa por identificar la identidad real de LockBitSupp (esto último era claramente una provocación)

El bug bounty servía doble propósito: mejorar la seguridad de su infraestructura y proyectar una imagen de profesionalismo y sofisticación.

Afiliados notables

LockBit atraía afiliados de alto calibre gracias a su reputación y reparto generoso. Algunos afiliados identificados:

Mikhail Vasiliev (canadiense-ruso): arrestado en Ontario, Canadá en noviembre 2022. Sentenciado a 4 años de prisión
Ruslan Astamirov (ruso): arrestado en Arizona, EEUU en junio 2023. Realizó al menos 5 ataques LockBit
Artur Sungatov y Ivan Kondratyev (alias Bassterlord): acusados por DOJ en febrero 2024

Ataques notables

Víctima	Fecha	Impacto	Rescate
Accenture	Ago 2021	6 TB de datos robados	Parcialmente pagado (según LockBit)
Royal Mail (UK)	Ene 2023	Servicio postal paralizado semanas	80M USD demandados, no pagado
Boeing	Oct 2023	43 GB de datos publicados	No pagado
ICBC (banco más grande de China)	Nov 2023	Operaciones de trading afectadas en EEUU	Pagado (monto no confirmado)
SickKids Hospital (Toronto)	Dic 2022	Hospital pediátrico. LockBit dijo que el afiliado fue expulsado	Decryptor proporcionado gratis
Fulton County (Georgia, EEUU)	Ene 2024	Condado de procesamiento de Trump	Datos publicados

Operation Cronos: la caída

Febrero 2024: la operación

Operation Cronos fue una operación multinacional coordinada por 10 países, liderada por NCA (National Crime Agency, Reino Unido) y FBI:

Acción	Resultado
Incautación de servidores	34 servidores en 8 países (Países Bajos, Alemania, Finlandia, Francia, Suiza, Australia, EEUU, UK)
Claves de descifrado	Más de 1.000 claves recuperadas, distribuidas a víctimas gratuitamente
Cuentas de criptomonedas	200+ congeladas
Arrestos	2 personas en Polonia y Ucrania
Identificación	Dmitry Yuryevich Khoroshev (alias LockBitSupp), ciudadano ruso, identificado públicamente
Recompensa	10 millones USD ofrecidos por información que lleve a su arresto
Leak site	Incautado y reemplazado con mensajes de law enforcement

La respuesta de LockBitSupp

Días después de Operation Cronos, LockBitSupp lanzó nueva infraestructura e intentó relanzar la operación. Publicó mensajes en foros:

Alegó que solo habían incautado servidores PHP y que los backups estaban intactos
Negó ser Dmitry Khoroshev
Lanzó nuevas víctimas en el leak site reconstituido
Anunció "mejoras" de seguridad en la infraestructura

Sin embargo, la operación nunca recuperó su volumen anterior. Los afiliados perdieron confianza: si law enforcement había infiltrado la infraestructura, ¿quién garantizaba que la nueva era segura? Muchos afiliados migraron a RansomHub y otros programas.

Detección de LockBit: indicadores técnicos

Comportamiento pre-cifrado

LockBit 3.0 ejecuta una secuencia detectable:

Comprobación de idioma del sistema (abortando si es CEI)
Elevación de privilegios (UAC bypass)
Eliminación de shadow copies: vssadmin.exe delete shadows /all /quiet
Deshabilitación de Windows Defender
Detención de servicios: SQL Server, Exchange, Veeam, etc.
Enumeración de drives y shares de red
Cifrado multihilo con IOCP
Escritura de nota de rescate en cada directorio
Cambio de wallpaper
Autoeliminación del binario

IOCs técnicos

Tipo	Indicador
Extensión de archivo	`.lockbit` (v1-v2), configurable en v3
Nota de rescate	Archivo con instrucciones y ID de víctima
Wallpaper	Imagen con texto de rescate en fondo negro
Servicios detenidos	Lista predefinida de servicios Windows
Mutex	Mutex específico para evitar doble ejecución
Argumento CLI	`-pass` requerido para ejecutar el payload (v3)
StealBit	Tráfico hacia infraestructura LockBit

Reglas de detección

Detectar la contraseña como argumento CLI es un indicador de alta confianza para LockBit 3.0:

# Sysmon: proceso con argumento -pass
Process creation where CommandLine contains "-pass" 
  AND (ParentImage = "cmd.exe" OR ParentImage = "powershell.exe")
  AND Image NOT IN trusted_list

La eliminación de shadow copies combinada con la detención masiva de servicios en un período corto (menos de 60 segundos) es un indicador de alta confianza para ransomware en general y LockBit en particular.

Legado y lecciones

LockBit demostró que el ransomware es, ante todo, un negocio. Su éxito se basó en principios empresariales: producto superior (velocidad), precio competitivo (80% para afiliados), marketing agresivo y servicio al "cliente" (tanto afiliados como víctimas). Operation Cronos demostró que incluso las operaciones más sofisticadas son vulnerables a la cooperación internacional de law enforcement, pero la migración de afiliados a otros programas confirma que desmantelar un grupo no desmantelar un ecosistema.

Fuentes y referencias

NCA. "International investigation disrupts the world's most harmful cyber crime group." February 2024.
U.S. Department of Justice. "U.S. and U.K. Disrupt LockBit Ransomware Variant." February 2024.
CISA. "Understanding Ransomware Threat Actors: LockBit." Advisory AA23-165A, 2023.
Trend Micro. "LockBit 3.0 Ransomware Technical Analysis." 2022.
Sophos. "LockBit 3.0: Intermittent Encryption Analysis." SophosLabs, 2022.
The DFIR Report. "LockBit 3.0 Analysis." https://thedfirreport.com/
CrowdStrike. "LockBit Ransomware: Technical Deep Dive." CrowdStrike Intelligence, 2023.
Chainalysis. "LockBit Financial Analysis." 2024.
BleepingComputer. "LockBit ransomware builder leaked online by 'ichild' developer." September 2022.
Mandiant. "M-Trends 2025: LockBit Activity Analysis." Google Cloud Security, 2025.
MITRE ATT&CK. "LockBit." https://attack.mitre.org/software/

Preguntas frecuentes

Libros recomendados

Ransomware: Defending Against Digital Extortion (Allan Liska)

Amazon (enlace afiliado)

Practical Malware Analysis (Sikorski & Honig)