Ключевая инфраструктура новой версии печально известного программного обеспечения-вымогателя (ransomware) LockBit 5.0 была случайно выставлена в открытый доступ. Утечка раскрыла IP-адрес сервера и доменное имя, используемые для хранения сайта с утекшими данными жертв, что стало серьёзным провалом в операционной безопасности киберпреступной группировки.
Описание
По данным исследователя Rakesh Krishnan, инфраструктура работает на IP-адресе 205.185.116[.]233 и использует домен karma0[.]xyz. Сервер размещён в сети AS53667 (PONYNET, которой управляет FranTech Solutions). Эта сеть печально известна частым злоупотреблением со стороны различных злоумышленников. На сервере обнаружена защитная страница от DDoS-атак с логотипом "LOCKBITS.5.0", что окончательно подтверждает его роль в операциях группировки.
Rakesh Krishnan обнародовал эти данные 5 декабря 2025 года в социальной сети X (бывший Twitter). В своей публикации он отметил недавнюю регистрацию домена и его прямую связь с деятельностью LockBit 5.0. Согласно записям WHOIS, домен karma0.xyz был зарегистрирован 12 апреля 2025 года и истекает в апреле 2026 года. Для управления DNS используются серверы Cloudflare, а в качестве контактного адреса указан Рейкьявик, Исландия, через службу приватности Namecheap. Статус домена включает запрет на передачу, что может указывать на попытки злоумышленников заблокировать контроль над ресурсом на фоне растущего внимания.
Технический анализ сервера выявил несколько открытых портов, что создаёт дополнительные риски. В частности, открыты порты для FTP-сервера (21), веб-сервера Apache (80), службы удалённого рабочего стола RDP (3389), а также WinRM (5985) и несколько HTTP-портов. Наличие открытого RDP-порта (3389) представляет особую угрозу, так как потенциально позволяет получить несанкционированный доступ к хосту под управлением Windows.
Этот инцидент произошёл на фоне заявленного группой LockBit возвращения с обновлённым вредоносным ПО (malware). Версия LockBit 5.0, появившаяся примерно в сентябре 2025 года, поддерживает атаки на системы Windows, Linux и виртуальные машины VMware ESXi. Среди новых возможностей - использование случайных расширений для зашифрованных файлов, функция обхода систем, геолокация которых определяется как российская, а также ускоренное шифрование с помощью алгоритма XChaCha20.
Обнародование инфраструктуры подчёркивает хронические проблемы с операционной безопасностью у группировки, которая неоднократно подвергалась сбоям в работе, но продолжает проявлять устойчивость (persistence). Для специалистов по защите информации рекомендуется немедленно добавить IP-адрес 205.185.116.233 и домен karma0.xyz в блокировочные списки (блокировку трафика) для предотвращения возможных атак. Исследователям же следует отслеживать эту информацию для потенциального мониторинга дальнейших утечек или смены инфраструктуры злоумышленниками.
Данный случай наглядно демонстрирует, что даже самые продвинутые и осторожные киберпреступные группы не застрахованы от ошибок, раскрывающих их операционные секреты. Постоянный мониторинг открытых источников (OSINT) остаётся критически важным инструментом в борьбе с цифровыми угрозами.
Индикаторы компрометации
IPv4
- 205.185.116.233
Domains
- karma0.xyz
