Исследовательское подразделение Acronis по анализу угроз (Threat Research Unit, TRU) провело детальный разбор последней, пятой версии печально известного вымогателя LockBit. Новая итерация, обнаруженная в сентябре 2025 года, сохраняет свою главную опасность: она способна атаковать системы под управлением Windows, Linux и виртуальные платформы ESXi. Эксперты отмечают, что основными целями злоумышленников по-прежнему остаются коммерческие организации в США. Группа LockBit действует по модели "вымогательство как услуга" (ransomware-as-a-service), применяя тактику двойного шантажа. Помимо шифрования файлов, злоумышленники крадут корпоративные данные, угрожая их публикацией, чтобы увеличить вероятность получения выкупа.
Описание
История группы LockBit началась в 2019 году, и с тех пор она превратилась в одного из самых активных операторов в своей сфере. Каждое обновление приносило новые функции. Например, версия 3.0, также известная как LockBit Black, в 2022 году сделала группу лидером по количеству атак. Несмотря на конфискацию серверов правоохранительными органами в начале 2024 года, группа продолжила деятельность. После выхода версии 4.0 в 2025 году, к осени того же года появилась и актуальная версия 5.0, которую авторы рекламировали как более модульную, быструю и устойчивую к защитным решениям. Особенно исследователей насторожила заявленная поддержка всех версий платформы виртуализации Proxmox, которая становится популярной корпоративной альтернативой коммерческим гипервизорам.
Технический анализ показал как сходства, так и ключевые различия между версиями для разных операционных систем. Все варианты вредоносного ПО используют одну и ту же схему шифрования, основанную на алгоритмах XChaCha20 (для симметричного шифрования) и Curve25519 (для асимметричного шифрования). Каждый зашифрованный файл получает случайное 16-символьное расширение, а в каждой папке злоумышленник оставляет идентичную записку с требованиями выкупа. Однако версия для Windows демонстрирует наиболее изощренные методы уклонения от защиты и противодействия анализу. Образец упакован, что затрудняет статический анализ. При выполнении он использует такие техники, как снятие хуков с библиотек DLL (DLL unhooking), подмена процессов (process hollowing) и патчинг функций трассировки событий Windows (Event Tracing for Windows, ETW). Кроме того, после шифрования программа пытается стереть все доступные журналы событий в системе.
Версии для Linux и ESXi, в свою очередь, не упакованы, но почти все строки в них зашифрованы. Они содержат явные проверки на наличие отладочного и аналитического программного обеспечения, такого как GDB или strace, и завершают работу при его обнаружении. Версия для ESXi включает дополнительную логику для работы в виртуальной среде. Она ищет папку "/vmfs/", где хранятся файлы виртуальных машин, и может принудительно завершать их работу, чтобы избежать блокировки файлов при шифровании. Эта функция может быть отключена специальным аргументом командной строки. Все версии поддерживают функцию затирания свободного места на диске, записывая нулевые байты во временный файл до полного исчерпания пространства.
Интересный аспект, обнаруженный исследователями, связан с инфраструктурой. Веб-сайт группы LockBit, где публикуются данные жертв, на момент анализа размещался на сервере, исторически связанном с деятельностью другого вредоносного семейства - SmokeLoader. SmokeLoader представляет собой бэкдор, часто используемый для доставки других угроз. Это указывает на возможное повторное использование инфраструктуры или сотрудничество между различными группами злоумышленников, что является распространенной практикой в теневом цифровом пространстве.
Анализ последних жертв, перечисленных на сайте утечек данных, показывает, что основными целями LockBit остаются частные коммерческие компании. В то же время в списке есть медицинские учреждения, финансовые и производственные предприятия, государственные и образовательные организации. Хотя группа официально запрещает своим партнерам-аффилиатам атаковать цели в странах постсоветского пространства, география жертв обширна, с наибольшей концентрацией в США.
Эксперты Acronis TRU приходят к выводу, что LockBit 5.0 представляет собой единую и развитую рамворную платформу. Ее эволюция демонстрирует четкий тренд: смещение фокуса с рядовых пользователей Windows на корпоративную среду и критическую ИТ-инфраструктуру, включая системы виртуализации. Наличие полнофункциональных версий для Linux и ESXi опровергает миф о том, что эти платформы менее подвержены риску. Следовательно, организациям необходимо выстраивать комплексную, кроссплатформенную защиту, включающую регулярное резервное копирование, сегментацию сетей, обновление ПО и обучение сотрудников. Постоянный мониторинг угроз и готовность к инцидентам становятся не просто рекомендацией, а строгой необходимостью в современном ландшафте киберугроз.
Индикаторы компрометации
IPv4
- 205.185.116.233
Domains
- karma0.xyz
URLs
- http://lockbit7z2jwcskxpbokpemdxmltipntwlkmidcll2qirbu7ykg46eyd.onion/
- http://lockbit7z2mmiz3ryxafn5kapbvbbiywsxwovasfkgf5dqqp5kxlajad.onion/
- http://lockbit7z2og4jlsmdy7dzty3g42eu3gh2sx2b6ywtvhrjtss7li4fyd.onion/
- http://lockbit7z355oalq4hiy5p7de64l6rsqutwlvydqje56uvevcc57r6qd.onion/
- http://lockbit7z36ynytxwjzuoao46ck7b3753gpedary3qvuizn3iczhe4id.onion/
- http://lockbit7z37ntefjdbjextn6tmdkry4j546ejnru5cejeguitiopvhad.onion/
- http://lockbit7z3azdoxdpqxzliszutufbc2fldagztdu47xyucp25p4xtqad.onion/
- http://lockbit7z3ddvg5vuez2vznt73ljqgwx5tnuqaa2ye7lns742yiv2zyd.onion/
- http://lockbit7z3hv7ev5knxbrhsvv2mmu2rddwqizdz4vwfvxt5izrq6zqqd.onion/
- http://lockbit7z3ujnkhxwahhjduh5me2updvzxewhhc5qvk2snxezoi5drad.onion/
- http://lockbit7z4bsm63m3dagp5xglyacr4z4bwytkvkkwtn6enmuo5fi5iyd.onion/
- http://lockbit7z4cgxvictidwfxpuiov4scdw34nxotmbdjyxpkvkg34mykyd.onion/
- http://lockbit7z4k5zer5fbqi2vdq5sx2vuggatwyqvoodrkhubxftyrvncid.onion/
- http://lockbit7z4ndl6thsct34yd47jrzdkpnfg3acfvpacuccb45pnars2ad.onion/
- http://lockbit7z55tuwaflw2c7torcryobdvhkcgvivhflyndyvcrexafssad.onion/
- http://lockbit7z57mkicfkuq44j6yrpu5finwvjllczkkp2uvdedsdonjztyd.onion/
- http://lockbit7z5ehshj6gzpetw5kso3onts6ty7wrnneya5u4aj3vzkeoaqd.onion/
- http://lockbit7z5hwf6ywfuzipoa42tjlmal3x5suuccngsamsgklww2xgyqd.onion/
- http://lockbit7z5ltrhzv46lsg447o3cx2637dloc3qt4ugd3gr2xdkkkeayd.onion/
- http://lockbit7z6choojah4ipvdpzzfzxxchjbecnmtn4povk6ifdvx2dpnid.onion/
- http://lockbit7z6dqziutocr43onmvpth32njp4abfocfauk2belljjpobxyd.onion/
- http://lockbit7z6f3gu6rjvrysn5gjbsqj3hk3bvsg64ns6pjldqr2xhvhsyd.onion/
- http://lockbit7z6qinyhhmibvycu5kwmcvgrbpvtztkvvmdce5zwtucaeyrqd.onion/
- http://lockbit7z6rzyojiye437jp744d4uwtff7aq7df7gh2jvwqtv525c4yd.onion/
- http://lockbitfbinpwhbyomxkiqtwhwiyetrbkb4hnqmshaonqxmsrqwg7yad.onion/
- http://lockbitsuppyx2jegaoyiw44ica5vdho63m5ijjlmfb7omq3tfr3qhyd.onion
SHA256
- 180e93a091f8ab584a827da92c560c78f468c45f2539f73ab2deb308fb837b38
- 1da6525ae1ef83b6f1dc02396ef0933732f9ffdfca0fda9b2478d32a54e3069b
- 4dc06ecee904b9165fa699b026045c1b6408cc7061df3d2a7bc2b7b4f0879f4d
- 7ea5afbc166c4e23498aa9747be81ceaf8dad90b8daa07a6e4644dc7c2277b82
- 90b06f07eb75045ea3d4ba6577afc9b58078eafeb2cdd417e2a88d7ccf0c0273
- 98d8c7870c8e99ca6c8c25bb9ef79f71c25912fbb65698a9a6f22709b8ad34b6
