Заплати $500 и почувствуй себя хакером. LockBit устроил распродажу «входных билетов»

Группировка LockBit, которую многие уже поспешили списать со счетов после громких провалов и утечек, неожиданно напомнила о себе. Осенью 2025 года она вернулась с новой версией шифровальщика LockBit 5.0 и заметно изменила подход к ведению бизнеса, сделав свои атаки доступнее и технологичнее одновременно.

История LockBit началась еще в 2019 году, когда после распада картеля Maze группа стала действовать самостоятельно под названием ABCD. Уже к концу того же года бренд сменился на LockBit, а с 2020 года операторы перешли к двойному вымогательству с собственным сайтом утечек данных. За несколько лет шифровальщик пережил несколько крупных обновлений, включая версии 2.0, 3.0 и 4.0, а также эксперименты с атаками на macOS и использованием наработок из утекшего исходного кода Conti.

После обновления до LockBit 4.0 активность группировки постепенно сошла на нет. После мая 2025 года на сайте утечек данных не появлялось новых жертв, а сама инфраструктура выглядела заброшенной. Ситуация изменилась в сентябре 2025 года, когда LockBit представила версию 5.0 и резко снизила порог входа для партнеров. Если раньше участие в партнерской программе требовало серьезных вложений и репутации, то теперь достаточно было заплатить всего 500$. Аналитики связывают этот шаг с попыткой восстановить влияние после операции CRONOS и утечек внутренних данных панели управления.

К концу 2025 года признаки возрождения стали очевидны. Группировка запустила новые домены сайта утечек и начала снова проявлять активность на подпольных форумах, включая RAMP и XSS. При этом, по данным исследователей, ключевые участники партнерской программы сохранились, а сама структура была перестроена для повышения эффективности и масштабирования атак.

С технической точки зрения LockBit 5.0 заметно отличается от предыдущих версий. Шифровальщик состоит из загрузчика и основного модуля. Загрузчик отвечает за обход защитных механизмов, расшифровку полезной нагрузки и запуск ее напрямую в памяти, активно используя антиотладочные и антианалитические приемы. Основной модуль отвечает за шифрование данных и получил целый набор новых функций.

Одним из ключевых изменений стало более гибкое шифрование файлов. Теперь алгоритм зависит от размера файла, а для защиты ключей используется связка ChaCha20 и Curve25519. Файлы получают случайные расширения длиной 16 символов, а перед шифрованием вредонос завершает процессы, которые удерживают открытые файлы. Это повышает процент успешного шифрования и снижает вероятность сбоев.

В LockBit 5.0 появились и новые возможности, которых не было ранее. Вредонос теперь использует mutex для предотвращения повторного запуска, умеет показывать статус шифрования в консоли, удаляет временные файлы для ускорения работы и может намеренно повреждать систему с помощью функции wiper, заполняя диск мусорными данными. Также изменена логика удаления теневых копий и очистки журналов событий, что серьезно усложняет восстановление данных и последующий анализ инцидента.

Эксперты отмечают, что обновление до версии 5.0 сделало LockBit заметно более устойчивым к анализу и более эффективным в атаках, особенно в корпоративных сетях. При этом снижение стоимости входа в партнерскую программу может привести к росту числа атак со стороны менее опытных, но более многочисленных операторов.

Специалисты по безопасности рекомендуют организациям внимательно следить за аномальным поведением процессов, своевременно устанавливать обновления и использовать актуальные средства защиты. Возвращение LockBit показывает, что даже серьезные удары по инфраструктуре вымогателей не гарантируют их окончательного исчезновения, а лишь подталкивают к адаптации и поиску новых тактик.