LockBit 5.0: реструктуризация и техническая эволюция кибергруппировки

Исторически LockBit начал самостоятельную деятельность в сентябре 2019 года под именем ABCD, впоследствии неоднократно обновляясь. После версии 4.0, выпущенной в декабре 2024 года, на сайте утечек данных (Data Leak Site, DLS) группы наступило затишье. Однако в сентябре 2025 года был анонсирован LockBit 5.0, также известный как версия "ChoungDong". Ключевым маркетинговым ходом стало радикальное снижение вступительного взноса для новых аффилиатов до 500 долларов. Эксперты расценивают это как смелую попытку быстро восстановить экосистему атак после операции правоохранительных органов CRONOS и утечек внутренних данных. Активность на форумах XSS и RAMP, а также запуск новых доменов DLS в декабре 2025 года подтвердили возвращение группировки с обновлённой стратегией.

С технической точки зрения, переход с версии 4.0 на 5.0 представляет собой не просто косметическое обновление, а глубокую структурную переработку. Вредоносное ПО теперь разделено на два основных компонента: загрузчик (Loader) и непосредственно программу-вымогатель (ransomware). Загрузчик демонстрирует усложнённые методы противодействия анализу, включая техники Indirect JMP и Dummy Code для затруднения реверс-инжиниринга. Он динамически разрешает необходимые API, используя собственную хэш-функцию, и применяет технику Process Hollowing для внедрения расшифрованного полезного кода (payload) в легитимный процесс, например, defrag.exe.

Основной модуль вымогателя также получил значительные улучшения. Добавлена проверка страны, позволяющая пропускать системы, использующие русский язык, что является распространённой практикой среди групп, базирующихся в странах СНГ. Существенно расширен набор параметров командной строки. Появились новые функции, такие как создание мьютекса для предотвращения повторного запуска, задержка выполнения (Execution Delay) и интерактивная строка состояния (Status bar) для отображения прогресса шифрования. Для повышения производительности атаки была добавлена функция принудительного удаления временных файлов (Delete TEMP).

Одним из наиболее существенных изменений стала модернизация логики шифрования. Теперь метод кодирования файла зависит от его размера. Например, для файлов до 80 мегабайт используется алгоритм ChaCha20 в сочетании с Curve25519 для защиты ключей. Процесс удаления теневых копий томов (Volume Shadow Copy) был переработан с использованием официального VSS API вместо унаследованного от Conti метода. Кроме того, появилась новая разрушительная функция "Wiper". При активации через параметр командной строки она заполняет свободное дисковое пространство мусорными данными, что значительно затрудняет последующий форензик-анализ инфицированной системы.

Таким образом, LockBit 5.0 представляет собой качественно более опасную угрозу. Группировка не только упростила доступ для новых участников, что потенциально увеличит количество атак, но и серьёзно усилила технические возможности своего основного инструмента. Улучшенное противодействие анализу, более гибкое и эффективное шифрование, а также новые функции для сокрытия следов деятельности требуют от специалистов по безопасности повышенного внимания.

MD5

• 5e1f61b9c1c27cad3b7a81c804ac7b86
• d57a61761cc5a210207a42eaa223f40d
• f79ea684b3d459cf3f9d93dac0818ad5

SHA256

• 180e93a091f8ab584a827da92c560c78f468c45f2539f73ab2deb308fb837b38
• 5fc709c53f1a714c2fe13130458880f90ad02cd72913e90517aa54d32109acc6
• 6abb008fdeede9cddb8ea05c382a89ef654d4d8a88f490719d473d4bfd0705b7