«Нас не остановить»: LockBit вернулся с пятой версией шифровальщика и атакует сразу три континента

leer en español

LockBit LockBitSupp LockBit 5.0 ESXi Windows Linux вымогательское ПО
«Нас не остановить»: LockBit вернулся с пятой версией шифровальщика и атакует сразу три континента
LockBit LockBitSupp LockBit 5.0 ESXi Windows Linux вымогательское ПО

Операция Cronos оказалась лишь временной паузой для хакеров.

image

После непродолжительного затишья оператор вымогательской программы LockBit вернулся к активной деятельности, запустив новую версию вредоносного ПО. Весной 2024 года инфраструктура группировки была нарушена в ходе международной операции Cronos, однако к осени стало очевидно, что атаки возобновились с новой силой. Возвращение совпало с запуском LockBit 5.0 — версии, получившей внутреннее обозначение «ChuongDong» и существенно расширившей возможности платформы.

С сентября 2025 года специалисты Check Point Research зафиксировали серию атак на компании в странах Западной Европы, в Северной и Южной Америке, а также в Азии. Около половины инцидентов были связаны со свежей сборкой LockBit 5.0, остальные — с более ранней модификацией LockBit Black. Большинство компрометаций пришлись на системы Windows, что составило около 80% всех заражений. Остальные инциденты были связаны с серверами на базе Linux и ESXi-гипервизорами, что подтверждает мультиплатформенный характер нового инструмента.

Возобновление кампаний сопровождалось реорганизацией партнёрской программы. Администратор под псевдонимом LockBitSupp заново выстроил сеть аффилиатов, предложив доступ к панели управления и инструментам шифрования за депозит в размере $500 в криптовалюте. Такая схема, по оценке аналитиков, вновь запустила модель вымогательства как услуги, позволив группировке восстановить влияние на теневом рынке.

Пятая версия вредоноса демонстрирует заметный технический прогресс. Были доработаны алгоритмы шифрования — они теперь действуют быстрее, сокращая время, доступное специалистам для реагирования. Кроме того, в каждой атаке применяются уникальные расширения файлов длиной 16 символов, подобранные случайным образом, что усложняет распознавание заражения стандартными средствами. Для усложнения анализа добавлены функции противодействия отладке и препятствия реверс-инжинирингу, препятствующие исследованию вредоносной логики.

Механизм вымогательства также претерпел изменения. Теперь жертвам оставляют записки с указанием на LockBit 5.0, а также с персонализированными ссылками для ведения переговоров. При этом установлены жёсткие сроки — если контакт не будет установлен в течение 30 дней, украденная информация будет опубликована. Подобная тактика, сочетающая техническую сложность и жёсткое давление, вновь подчёркивает устойчивость хорошо организованных преступных групп.