LockBit 5.0 强势回归，勒索威胁全面升级

在 2024 年初遭受国际执法部门“克罗诺斯行动”（Operation Cronos）沉重打击后，臭名昭著的 LockBit 勒索软件组织又重新死灰复燃。该组织核心管理员 LockBitSupp 成功重建了运营体系，并于近期推出全新版本 LockBit 5.0，内部代号“ChuongDong”。

这一版本标志着 LockBit 的技术能力迈入了新阶段，攻击目标涵盖 Windows、Linux 以及 VMware ESXi 平台，攻击手法更具隐蔽性与破坏性。

然而，LockBit 的重建之路并非一帆风顺。2025 年 5 月，该组织遭遇了一起令人啼笑皆非的安全事件——他们的暗网加盟面板被黑客入侵，并被留言“不要犯罪，犯罪是坏事，来自布拉格的亲吻”而嘲讽。

这次入侵导致近 60,000 个比特币地址和 4,442 条谈判信息被泄露，为执法部门追踪赎金支付提供了宝贵线索。

尽管遭遇此次挫折，LockBitSupp 在暗网论坛上宣布回归后，通过要求新成员支付约 500 美元比特币押金以获得控制面板与加密工具的方式，重新启动了加盟体系。安全分析报告指出，LockBit 的“勒索软件即服务”（RaaS）体系已全面恢复，其合作伙伴网络重新活跃。

全球组织面临严峻威胁

自 2025 年 9 月起，LockBit 再次展开活跃攻击，已在欧美及亚洲的十余家机构中造成安全事件。其中约一半使用最新的 LockBit 5.0，其余仍在利用旧版 LockBit Black。统计显示，约 80%的感染发生在 Windows 环境，其余 20%针对虚拟化和服务器系统。

这波攻击并非孤立事件。我们发现，LockBit 5.0 在 2025 年 9 月为庆祝 LockBit 集团成立六周年而发布，目前已在实际环境中被发现部署使用。新版本的跨平台攻击能力显著提升，使攻击者能够同时对整个企业网络发动攻击，从工作站到托管数据库和虚拟化平台的关键服务器都可能成为目标。

ESXi 变种特别针对 VMware 虚拟化基础架构，这代表 LockBit 能力的关键性升级 。由于 ESXi 服务器通常托管多个虚拟机器，攻击者只需执行单一载荷就能加密整个虚拟化环境，这对依赖虚拟化技术的企业构成了严重威胁。

LockBit 5.0 在加密速度、混淆技术及逃避检测方面均有显著升级，被认为是迄今为止最危险的版本。

新版本引入了多平台支持，可以为 Windows、Linux 和 ESXi 提供独立构建版本，可同时攻击企业多种系统，其加密流程经过优化，改进了加密算法以缩短防御方响应时间，实现快速全盘加密。

为逃避检测，LockBit 5.0 采用随机 16 位字符作为加密后的文件扩展名，有效绕过了传统特征码检测。此外，新版本还强化了反分析功能，通过阻碍内存转储与调试行为，使取证与逆向分析更加困难。

LockBit 5.0 的 Windows 变种通过 DLL 反射加载其 payload，并采用反分析技术，进行了深度的混淆和加壳。该变种还通过覆盖 EtwEventWrite API 并插入 0xC3（返回）指令来修补该 API，借此停用 Windows 事件追踪功能。

与之前的 LockBit 版本相同，新版本使用地理位置检查机制，当侦测到俄语语言设定或俄国地理位置时会终止执行，这是东欧勒索软件组织中常见的做法。

从基础防御到主动验证

面对 LockBit 等持续进化的勒索软件团伙的威胁，企业不仅需要建防护体系，更要定期验证安全措施的有效性。传统的安全防护手段往往滞后于攻击技术的演进，无法应对快速变化的威胁环境。

塞讯智能安全验证平台已具备了此勒索软件团伙最新的攻击仿真能力，通过已收录 LockBit 等活跃勒索软件家族的攻击手法的模拟，可帮助企业定期验证现有安全防护体系是否能够有效检测和阻断这类威胁。

通过模拟真实攻击手法，企业可以在遭受实际攻击前发现防护短板，及时调整安全策略，确保在勒索软件来袭时具备真正的防御能力。只有通过持续的安全验证，才能在这场不对称的网络安全攻防战中占据先机。

随着 LockBit 5.0 的广泛传播，企业必须认识到勒索软件威胁已进入新的阶段。跨平台攻击能力、深度混淆技术和反检测机制的结合，使得这一版本的威胁程度远超以往。唯有通过持续的安全验证和防护升级，才能在这一场不对等的网络安全攻防战中守住阵地。