暗网勒索软件团伙LockBit 5.0遭遇了严重的运营安全事故,安全研究员Rakesh Krishnan发现了其最新的基础设施,包括服务器、IP地址和明网域名均被泄露。
12月5日,Krishnan首次通过X(前身为Twitter)公布了调查结果,并指出该域名是最近注册的,与LockBit 5.0的活动有直接联系。他的发现显示IP地址205.185.116.233和明网域名karma0.xyz托管了该勒索软件团伙的最新暗网泄密网站。
🚨Exposing #LOCKBIT 5.0 Server: IP & DOMAIN
IP: 205.185.116.233 🇺🇸#AS53667
Domain: karma0[.]xyz
Reg: 2 November 2025
💡LockBit Group uses #Smokeloader in their attacks
MD5: e818a9afd55693d556a47002a7b7ef31#Lockbit5 #Ransomware #Security #Intelligence #OSINT #Databreach #TOR pic.twitter.com/U1AvMoCuck
— RAKESH KRISHNAN (@RakeshKrish12) December 6, 2025 Krishnan表示,暴露的服务器托管在AS53667(PONYNET)下,该网络由FranTech Solutions运营,该网络经常被滥用于非法活动而臭名昭著。
访问该IP,该服务器显示了一个DDoS防护页面,上面明确显示有“LOCKBITS.5.0”标识,这直接证明了它是该勒索软件团伙的基础设施。
此次重大泄露发生之际,LockBit团伙正凭借其增强的恶意软件攻击能力试图卷土重来。
域名注册信息及服务器暴露详情 WHOIS记录显示karma0.xyz域名于2025年4月12日在域名服务商Namecheap注册,有效期至2026年4月,使用了Namecheap的隐私保护服务,因此无法查看更多注册信息,但可以看到Namecheap隐私保护将冰岛雷克雅未克列为联系地点。
域名状态显示禁止客户端转移,这项防御措施是在基础设施被公开确认之后才采取的。这表明该团伙已采取措施锁定管理控制权,以应对信息泄露事件。
通过域名的解析记录可以看到,该域名采用Cloudflare的NS服务器(iris.ns.cloudflare.com和tom.ns.cloudflare.com)进行解析。
针对IP地址205.185.116.233进行网络扫描,发现该服务器开放了多个端口,包括易受攻击的远程访问端口,存在重大安全风险。
该服务器在端口21上提供FTP服务,在端口80和5000上提供HTTP服务,在端口3389上提供远程桌面协议 (RDP),在端口5985上提供Windows远程管理(WinRM),在端口49666上提供文件共享服务。
端口协议组件服务21TCPFTP Server80TCPApache/2.4.58 (Win64) OpenSSL/3.1.3 PHP/8.0.30 G7gGBXkXcAAcgxa.jpg3389TCPRDP (WINDOWS-401V6QI)5000TCPHTTP5985TCPWinRM47001TCPHTTP49666TCPFile Server 运行在Windows系统上的Apache Web服务器(版本2.4.58,OpenSSL 3.1.3和PHP 8.0.30)展示了该团伙的基于Windows的基础架构。
LockBit 5.0变种为迄今为止最危险的勒索软件 “暗网下/AWX”前期报道,LockBit 5.
周末,Scattered LAPSUS$ Hunters团伙的暗网洋葱网站突然显示了被FBI查封的图片,图片与其明网网站Breachforums[.]hn本月上旬被FBI查封后展示的图片相同。如果属实,则证明该团伙的暗网基础设施也已经被FBI扣押,服务器与数据库以及文件均被执法机构掌握。但目前业界普遍认为这是Scattered LAPSUS$ Hunters团伙自导自演的恶作剧。
回顾FBI设置的Breachforums[.]hn被扣押页面源码(省略图片的data信息与javascript引用信息):
<html> <head> <meta http-equiv="Content-Type" content="text/html; charset=windows-1252"> <title>This Domain Has Been Seized</title> </head> <body style="background-color: black;"> <p><img border="0" alt="This domain has been seized." src="data:image/png;base64,……"(省略data信息) width="auto" height="100%" style="display: block; object-fit: contain; margin-left: auto; margin-right: auto";/p> </body> </html> 目前洋葱域名展示的被扣押页面源码:
<html lang="en"><head> <meta charset="UTF-8"> <title>Seized</title> <style> html, body { margin: 0; padding: 0; height: 100%; background-color: black; } body { display: flex; justify-content: center; align-items: center; } img { max-width: 100%; max-height: 100%; object-fit: contain; } </style> </head> <body> <img src="
多次承诺要如期公布,并且暗网网站在倒计时,时间到了怎能不公布,Scattered LAPSUS$ Hunters勒索软件团伙给大家示范了什么才能做到“既当又立”,10日至11日,该团伙磨磨唧唧地泄露了6名受害者的数据,并且同步在叫嚣与威胁。
10月10日,Scattered LAPSUS$ Hunters勒索软件团伙在Telegram发布公告,称其自动化系统将首先在美东时间晚上11点59分泄露澳洲航空有限公司的数据库。此前已有数家公司因拒绝支付费用而遭泄露——因此短暂停歇数分钟,是让澳大利亚民众有时间消化这份恐惧、创伤与愧疚:他们的政府选择守护自身虚荣与尊严,而非保护公民安全。
10月10日,该团伙继续称,实在不忍心让数千甚至更多等待泄密消息的人失望——这些消息本就迫在眉睫,于是该团伙正在重新筛选即将被曝光的企业名单。由于团队半数成员此刻正酣睡在床上,又由于几分钟前上级突然标记了某些事项,未经批准无法继续推进工作。基于此,我们决定采取最佳方案:将泄密时间稍作延后。相关企业数据仍将如期于10月11日曝光。
10月11日,该团伙终于公布了其中6家受害公司的数据:
albertsons.com gap.com engieresources.com fujifilm.com qantas.com vietnamairlines.com 虽然有很多人都在问还会泄露什么,但该团伙表示他们不会再有其他泄露了。所有该泄露的都泄露了,没有其他东西可泄露,而且显然他们掌握的东西出于显而易见的原因不能泄露。
此外,该团伙称,由于洋葱网络正承受着海量流量的压力,暗网数据泄露网站现已同步开放至明网:https://shinyhunte[.]rs,“暗网下/AWX”认为该域名估计不久将会被FBI查封。
Scattered Lapsus$ Hunters称将推出公开勒索即服务项目 Scattered Lapsus$ Hunters团伙称,在下周一或下周某个时间,该团伙将推出首款专属的公开勒索即服务(EaaS)项目。运作模式类似勒索软件即服务(RaaS),但不包含锁定/加密功能。他们将为此设立专属门户,并提供参与该服务的操作指南。
该团伙表示,危机管理风险公司/顾问机构,或受害者聘请的谈判专家,通常希望确认对话对象身份,以此通过行为主体的过往记录建立信任与信誉。该计划的核心优势在于:黑客可借用该团伙的名义实施勒索,相较于匿名操作或使用毫无信誉/声誉/信任/历史背景的虚假身份,成功率将显著提升。
该团伙透露,EaaS项目的更多细节将很快公布。
Scattered Lapsus$ Hunters为其勒索攻击做总结并宣称将重点针对五个国家 Scattered Lapsus$ Hunters团伙在Telegram为持续一年的行动进行了小结。其表示,这应成为全球所有政府的警示——一旦遭遇数据泄露,赎金索求便会接踵而至。而最明智的选择是“服从我们,与我们协商解决方案”。
该团伙表示,他们不想再听什么“我们不与[恐怖分子]谈判”的废话。他们不是恐怖分子,只是在维护市场稳定——这是特朗普总统与狗狗币领袖马斯克赋予他们的使命。
该团伙特别警告澳大利亚称真心希望澳洲这次能吸取教训,称几年前其和Shanty摧毁Optus时,就给过澳大利亚多次配合的机会。该团伙要求澳大利亚政府请废除或彻底改革澳大利亚联邦警察局,称澳大利亚警方充斥着傲慢与自负,澳大利亚政府本身亦是如此,要求他们修改法律,调整政策,做出改变。
该团伙威胁称,他们将持续攻击澳大利亚直至澳大利亚重写规则,改变政府之前的决定,放下傲慢自负,未来配合谈判,与其合作。
该团伙针对全球其他政府称:“你们绝不可能阻止我们”,并表示的重点目标始终不变,那就是美国、英国、加拿大、澳大利亚、法国。该团伙警告加拿大说,你们这次没被列入打击目标,真是走运,下次就轮到你们了。
该团伙挑衅联邦调查局称FBI平庸至极,且在做无用功:
请停止浪费资源和资金去查封毫无价值的明网网站breachforums.hn,你们查封它得到了什么?说真的?一无所获。你们只是想吓跑我们吗?显然没成功。你们政府已经停摆,你们却忙着在网上追捕APT青少年。回家吧,辞职吧,退休吧,做点正事。ShinyHunters的名言:“FBI平庸至极”。没错,你们就是这般水平。
该团伙嘲笑Mandiant/GTIG技术拉跨,且一直被打脸:
你们在识别我们UNC6040行动时表现得最烂——拖了近一年才发现,那时所有数据早已泄露。对我们UNC6395行动的追踪勉强及格,但终究平庸至极,毫无价值。奥斯汀·拉森(Austin Larsen),你这个LGBTQ垃圾,滚蛋去当个同性恋吧,蠢货。最后警告Mandiant:别再主动找我们打脸了,因为当我们狠狠扇你耳光时,那滋味他妈的痛彻心扉。相信我,你绝对不想尝到那种滋味。我们能像搞垮捷豹路虎那样锁死整个谷歌云,让你们六七周进不来。别惹我们,去调查中国或Cl0p(又名Sl0p SaaR)吧。
该团伙称,那些配合他们的企业心知肚明,他们做出了正确抉择,在此致谢;至于其他那些公然决定不配合他们、拒绝保护客户权益的公司,只要他们存在,他们面临的威胁非但不会减轻,只会与日俱增。该团伙恐吓道,这次不付钱也行,但当他们卷土重来,像对待捷豹路虎那样停摆这些公司的生产线时,这些公司就只能听天由命了。
该团伙忠告Salesforce总部称:
请放下你们的傲慢与自负,我们将发起更具破坏性的行动,届时希望你们能改变主意。无论耗时多久,我们拥有无限的资金、资源、人力支持和后盾,足以永无止境地开展此类行动。 我们本可采取更恶劣手段,但选择保持简单直接。
该团伙“强烈建议并全力鼓励所有人持续攻击那些拒绝向网络攻击者支付赎金的国家(如澳大利亚),因为这种行为只会助长恶性循环”。该团伙表示,像他们这样经年累月建立信誉的团队不会这么做,他们既非网络攻击者亦非“恐怖分子”,而只是商人,做完生意便转身离去。
最后,该团伙表示,此刻起,全球所有企业都应默认将其视为真实威胁——对你个人、对你的公司、对关键基础设施、对国际安全构成威胁,因为他们永不停歇:“2026年再会”。
澳洲航空旅客信息及餐食选择等570万条记录遭泄露 澳洲航空表示,由于云软件公司Salesforce拒绝向Scattered Lapsus$ Hunters支付赎金,其570万条客户记录在暗网上泄露。
Salesforce排除了向Scattered Lapsus$ Hunters支付赎金或进行谈判的可能性,而澳洲航空周日证实,570万客户的数据已被泄露。
澳航表示,大多数客户记录仅限于姓名、电子邮件地址和飞行常客详细信息。一小部分信息还包括公司或家庭住址、出生日期、电话号码、性别和膳食偏好。
Scattered Lapsus$ Hunters继续威胁澳大利亚与挑衅美国FBI Scattered Lapsus$ Hunters勒索软件团伙口嗨的能力很强,一直在其Telegram频道大放厥词,该团伙发布消息威胁澳大利亚称:
我定要将你们国家炸得稀巴烂。澳大利亚向来以无能和无关紧要著称。
你们所谓的“追捕”、“搜寻”和“消灭”我们,根本是痴人说梦。清醒点吧,你们政府顶多能跑去向头号盟友美国哭诉,请求协助处理那些远远超出澳大利亚政府能力范围的事务。
去你妈的!
该团伙发布消息挑衅FBI称:
鉴于联邦调查局企图抹杀我们历史遗产的特殊情况,我们特此决定暂时放弃沉寂,即刻予以反击。此刻我们将再度消散于虚空。晚安。
Scattered Lapsus$ Hunters团伙能做出什么惊天举动与反击,“暗网下/AWX”将继续拭目以待。
今日,FBI查封了勒索软件团伙Scattered Lapsus$ Hunters使用的BreachForums域名(Breachforums.hn),正如前期“暗网下/AWX”报道,勒索组织针对Salesforce及其客户开展黑客攻击后开设了暗网泄密网站,而该域名是数据泄露网站在明网的镜像。
今年夏天,Breachforums[.]hn域名曾用于重新启动暗网数据泄露论坛Breachforums,但在一些核心运营管理员被捕后,该网站很快再次下线。根据“暗网下/AWX”之前的报道,今年6月份,法国执法部门逮捕了包括ShinyHunters、Hollow、Noct和Depressed在内的四名BreachForums成员,美国起诉了另一名BreachForums成员IntelBroker。7月份,ShinyHunters曾宣布重新启动 BreachForums,一个月后,新BreachForums论坛下线,ShinyHunters发布了一条带有PGP签名的消息,称该论坛的基础设施已被法国BL2C部门和FBI查封,并表示不会再重启。
本月初,该域名被Scattered Lapsus$ Hunters团伙转变为针对Salesforce数据泄露的网站,目的是勒索Salesforce以及受到影响的客户公司。根据“暗网下/AWX”之前的介绍,Scattered Lapsus$ Hunters团伙由与Scattered Spider、Lapsus$和ShinyHunters勒索软件团伙有关联的成员组成。
本周,Breachforums[.]hn域名已经无法访问,10月8日,该团伙在Telegram频道宣布不再运营明网域名。10月9日,Breachforums[.]hn域名被FBI接管,域名的NS服务器被切换为ns1.fbi.seized.gov和ns2.fbi.seized.gov,目前访问该域名显示巨大的扣押横幅。
根据扣押信息,在Scattered Lapsus$ Hunters团伙开始泄露Salesforce被盗数据之前,美国和法国的执法部门合作控制了BreachForums的所有网络基础设施。
FBI在X上称,联邦调查局及其合作伙伴已查封与BreachForums相关的域名。该犯罪市场平台被ShinyHunters、Baphomet和IntelBroker等团伙用于贩卖窃取数据并实施敲诈勒索。此次行动切断了犯罪分子利用该枢纽平台牟利、招募同伙及跨行业锁定受害者的关键通道,彰显了国际执法协同行动的威慑力——必将让网络犯罪幕后黑手付出代价。
The FBI and our partners have seized domains associated with BreachForums, a major criminal marketplace used by ShinyHunters, Baphomet, and IntelBroker to traffic stolen data and facilitate extortion.
This takedown removes access to a key hub used by these actors to monetize… pic.twitter.com/aiTRzFCIYU
— FBI (@FBI) October 12, 2025 对此,Scattered Lapsus$ Hunters团伙在Telegram频道挑衅道,扣押一个域名不会影响其行动,FBI还需要更加努力。
Scattered Lapsus$ Hunters团伙在Telegram频道发布声明回应明网域名被扣押 10月10日,Scattered Lapsus$ Hunters团伙在Telegram频道、暗网网站以及pastebin同步发布带有PGP签名的声明,确认Breachforums[.
勒索软件团伙Scattered LAPSUS$ Hunters在发布其暗网泄密网站后,“暗网下/AWX”看到,在其Telegram频道中异常嚣张,除了日常发出包括Dell、Telstra等新的受害者外,新的消息显示其在不断威胁恐吓Salesforce及其客户,挑衅FBI,并贬低cl0p等其他勒索软件团伙。
Scattered LAPSUS$ Hunters继续恐吓Salesforce及受害客户 路透社已经报道:”LAPSUS$黑客组织成员周五在暗网发布泄露网站,列出了据称已入侵的约40家企业。目前尚不明确这些公司是否为Salesforce客户。黑客与Salesforce均拒绝透露是否正在进行赎金谈判。”
该团伙表示,上周路透社询问Salesforce是否会与其接触/谈判时,Salesforce公司最初称“拒绝置评”。对于所有询问“你们向Salesforce索要多少赎金”的媒体,该团伙表示同样不予置评。该团伙不断提醒,勒索的截止日期将于纽约时间2025年10月10日晚上11点59分结束。
Scattered LAPSUS$ Hunters团伙威胁称,请有人告知Salesforce公司:若他们立即支付针对我们DLS系统中列出的39起数据泄露事件的赎金,我们将不会继续披露Salesloft(UNC6395行动)的数据泄露事件。另外,该团伙直接发布针对Salesforce公司的消息:
别成为下一个头条新闻。贵公司SalesForce客户的完整数据库已遭泄露,避免数据公开泄露引发巨大法律、财务及声誉损失的唯一途径,是立即通过电子邮件[email protected]联系SLSH。SLSH将协调安全通信渠道,立即配合可有效限制数据暴露范围、保障数据完整性,并为我们在敏感客户记录出现在公共论坛、全国新闻及DLS系统前控制事件提供最佳机会。拒绝或拖延只会让最终的头条新闻更加不堪。请做出正确抉择。
该团伙继续表示,Salesforce公司与其私下协商最符合贵方利益,只有这样才能彻底解决此事,让生活回归正轨——这场闹剧已经持续太久。该团伙明确强调:自己拥有充足资金、资源、支持和资金保障,足以让攻击持续不断。
该团伙继续称,或许你们以为曼迪安特(Mandiant)或联邦调查局(FBI)会终结此事,但必须再次明确:这种可能性微乎其微。该团伙同时威胁受害公司:
针对Salesforce平台上39家企业客户,我们强烈建议您立即与我们接洽——距离最后期限仅剩不到3天。显然,您的SaaS服务商无意拯救您。切勿成为下一个牺牲品。
对此,Salesforce再次明确告知客户不会向黑客支付勒索费用。
Scattered LAPSUS$ Hunters嘲笑cl0p勒索软件团伙技术差劲 该团伙称cl0p勒索软件团伙的技术太差,并指出了6点:
当你不得不对企业喊“喂!是我啊!去谷歌搜搜我啊!!”时,你就该明白自己在网络安全圈外根本是个无人问津的无名小卒。 你们知道Oracle EBS是什么吗?里面存的那些数据,根本没有哪家公司会为之支付赎金。要是真有公司付钱,那我倒要惊叹自己判断失误——不过那公司绝对是蠢到家了 他们真敢勒索Oracle EBS的数据?? 这帮人显然不懂如何通过t3://协议跳板,更别说利用WebLogic管理服务器渗透到IDM/SSO这类关键网络了,笑死 估计cl0p这些年损失了不少人手,缺乏执行大规模黑客攻击所需的能力、资源、人员和技术,所以他们大概是这么想的:
“直接从Oracle EBS抓取能拿到的数据就行,懒得进一步跳转了——毕竟我们实在搞不定老旧的RHEL 2.x-3.x内核(Oracle常挂原版RHEL),搞不好直接让服务器变砖😂” 你们太差劲了,拜拜 该团伙继续嘲笑,别提cl0p的勒索软件了,简直烂透了。那不过是个基于标准C++的文件加密器,混用RSA和Salsa20算法,唯一创新就是加了个killmsexchange开关防止数据库损坏。代码写得一塌糊涂,到处留下取证痕迹,全球所有杀毒厂商都已经破解分析过了哈哈哈。
该团伙称cl0p维护的不过是个基础Windows加密器,难怪这么无足轻重。当公司不付钱时,就知道用破烂的蹩脚英语邮件轰炸对方。并继续谩骂cl0p道:
你们就是勒索软件界的电话推销员。永远达不到我们的高度,永远无关紧要。你们简直就是勒索软件界的印度骚扰电话推销员。
cl0p,你们的“Oracle EBS”根本不算黑客攻击,纯粹是配置失误——你们只是滥用默认密码重置机制,祈祷企业懒得处理。自2020年以来你的整个操作模式如出一辙:找个文件传输方案(Accellion、MOVEit、Cleo等),利用0day漏洞,像乞讨的吉普赛人一样给公司发邮件勒索赎金,然后在谷歌上搜索你们团伙——创新何在?转型何在?你还在维护那个基础的C++加密器,所有杀毒厂商早就破解了。你们自制的破工具就暴露了粗鄙本性:引以为傲的LEMURLOOT网页shell竟用硬编码密码认证,笑死;你们的勒索软件在每个文件里留下Clop^_-标记,活像智障黑鬼在涂鸦上签名。你们害怕俄罗斯人,所以代码里直接写了不执行俄语系统包的逻辑。你们根本不是什么不可触碰的黑客艺术家,不过是明目张胆的经济犯罪分子,所有人都看穿了(所以才让你们这种无名小卒来冒用我们的泄密成果)。继续你们的垃圾邮件轰炸吧,我们会在网络里干正事——我们一个人的价值抵得上你们所有人。祝你们愉快啊,废物!
Scattered LAPSUS$ Hunters宣称将会制造恐怖的2026年 该团伙表示,其不再运营明网域名,所有服务将迁移至洋葱网络。
该团伙嘲讽联邦调查局因政府停摆而消极怠工,称“本案的主办警官们八成正溜到哪儿鬼混去了”。此外其还散步威胁言论:
2026年将是可怕的一年。最可怕的一年。我们最擅长制造可怕的年份。真的,最擅长。没人能像我们这样把年份搞得如此可怕。千真万确。千真万确。人们都这么说:你们制造的年份太可怕了!而我们确实如此!没错。你们会亲眼见证。我们将让它变得无人能及的可怕。
接着该团伙在频道中呼吁大家卖空SALESFORCE股票,并计划在纽约时间10日晚上11点59分整,开始泄露未付款的公司的数据。目前看,无论Salesforce公司还是受害企业均不会支付赎金,该团伙是否会如期泄露全部数据,让我们拭目以待。
FBI将如何打击这个勒索软件团伙,“暗网下/AWX”将继续关注。
“Scattered LAPSUS$ Hunters”是一个新的暗网勒索软件团伙,由三大勒索软件团伙Scattered Spider、Lapsus$和ShinyHunters合并而成,近期,该团伙推出了基于Tor的暗网数据泄露网站,其中包含42家受害公司。推出该暗网网站目的是迫使受害者向其付费,以避免被盗数据被公开发布。
该勒索软件团伙宣称已攻破Salesforce系统,通过针对Salesforce的供应链攻击窃取了其客户的约10亿条记录。该团伙指控Salesforce缺乏双重认证及OAuth防护机制,称逾百个实例遭入侵,并威胁将实施数据泄露、提起诉讼及披露技术细节。
目前其暗网泄密网站(http://shinypogk4jjniry5qi7247tznop6mxdrdte2k6pdu5cyo43vdzmrwid[.]onion)发布了42家公司,包括保险巨头安联人寿、墨西哥航空、开云集团、法国航空、谷歌、思科、Stellantis、澳洲航空、汽车巨头Stellantis、信用机构TransUnion以及员工管理平台Workday等,这些公司均因受到针对存在漏洞的Salesforce实例的攻击而被影响。
FedEx – 1.1TB Aeroméxico – 172.95GB Qantas Airways – 153GB UPS – 91.34GB HMH – 88GB Vietnam Airlines – 63.62GB Toyota Motor Corporation – 64GB Stellantis – 59GB Air France & KLM – 51GB Republic Services – 42GB Adidas – 37GB Disney/Hulu – 36GB Canvas by Instructure – 35GB Instacart – 32GB McDonald’s – 28GB TripleA – 23GB TransUnion – 22GB Home Depot – 19.
在2024年遭受执法部门的打击并在2025年遭遇包括聊天记录、管理系统截图等内部数据的泄露后,LockBit勒索软件团伙已经销声匿迹许久,上个月,LockBit在一个暗网论坛上宣布推出了LockBit 5.0,并宣称其加密速度和规避策略均有所提升,新的版本具有增强的功能和改进的勒索软件面板。尽管LockBit曾是勒索软件界的领头羊,但过去一年中受害者数量大幅下降,与Akira和Qilin等竞争对手相比,目前仅有约60名受害者。
暗网勒索软件团伙LockBit的LockBit 5.0网站:lockbitfbinpwhbyomxkiqtwhwiyetrbkb4hnqmshaonqxmsrqwg7yad[.]onion
近期,趋势科技发布的一项新研究,证实了LockBit勒索软件团伙针对Windows、Linux和VMware ESXi系统部署了名为LockBit 5.0的新变种,这表明该团伙正在持续采取跨平台策略,攻击包括虚拟化环境在内的整个企业网络。新的Windows变种使用DLL反射技术加载有效载荷,并采用ETW修补等反分析技术。LockBit 5.0在所有平台上都实施了行为改进,包括随机化的16个字符文件扩展名和感染后日志清理程序。
由于过去的执法行动、源代码泄露以及新勒索软件团伙的崛起,LockBit的复兴面临挑战。业界对竞争对手提供的利润分享模式和高级功能的回应,给LockBit的复兴带来了障碍。在不断变化的威胁和监管审查中,LockBit力求重拾昔日的领先地位,网络安全领域仍需保持警惕。
LockBit is down again —XOXO from Prague
LockBit's 5.0 panel just got wrecked
lockbitfbinpwhbyomxkiqtwhwiyetrbkb4hnqmshaonqxmsrqwg7yad[.onion]#LockBit #Ransomware pic.twitter.com/mTZDlbXwJM
— xoxofromprague (@xoxofromprague) September 11, 2025 LockBit勒索软件的演变历史 LockBit勒索软件团伙作为一个高产的勒索软件即服务(RaaS)团伙,自2019年问世以来其LockBit勒索软件已历经多次版本迭代。尽管执法部门曾发起重大打击行动(2024年初的克罗诺斯行动)查获其服务器并泄露解密密钥,该团伙仍以LockBit 5.0版本卷土重来。最新版本被该团伙定位为“强势回归”,宣称具备更快的加密速度、更强的规避能力以及全面升级的联盟计划。
LockBit于2019年首次以ABCD勒索软件之名出现,其名称源于加密文件后缀“.abcd”。早期版本功能较为基础,仅专注于快速加密本地文件,尚未采用如今的高级战术。
2021年,LockBit 2.0实现了重大突破。该版本引入专为数据窃取设计的工具StealBit,使攻击者能大规模窃取敏感数据。同时新增通过SMB和PsExec实现的自动化传播功能,使附属攻击者能在企业网络中快速扩散。同期该团伙将攻击目标扩展至Linux和VMware ESXi系统,标志着其转向大型企业猎杀的战略转型。
2022年推出的LockBit 3.0将创新推向新高度。该团伙率先推出漏洞悬赏计划,公开邀请黑客协助改进其恶意软件及暗网网站。其采用间歇性加密技术加速攻击进程——仅对大文件进行分块加密,即可彻底破坏文件功能。此版本使LockBit稳居全球最活跃勒索软件团伙之首,当年报告的勒索事件中逾40%由其制造。2022年末泄露的构建工具包,让研究人员以及竞争对手能够一窥LockBit已具备的高度定制化能力。
到2024年底,LockBit通过推出LockBit 4.0回应执法压力。该版本几乎是完全重写,采用.NET Core开发,具备模块化架构和增强的隐蔽性。打印机垃圾邮件等高噪音功能被移除,取而代之的是API解钩、混淆技术和更隐蔽的执行机制。加密速度达到新高度,能在数分钟内瘫痪大型网络。附属成员获得更多灵活性:支持定制勒索信函,并兼容Linux及VMware ESXi环境。
如今,在经历全球性打击行动与内部泄密后,该勒索软件团伙正试图通过LockBit 5.0全面复苏,并纪念该团伙成立六周年。新版延续模块化设计,引入更强效的现代EDR规避机制,并推出改良版附属激励计划以重建网络。最终打造出比历代版本更快、更具韧性且适应性更强的勒索软件变种。
新推出的LockBit 5.0比以往要危险的多 趋势科技研究显示,新推出的LockBit 5.0勒索软件变种,比以前的版本“危险得多”,并且正在野外部署。研究人员已经发现了一个Windows二进制文件,该网络安全公司在一篇博客中证实了LockBit 5.0的Linux和VMware ESXi变体的存在。
研究人员指出,Windows、Linux和VMware ESXi变体的存在证实了LockBit持续的跨平台策略。这使得攻击者能够同时攻击整个企业网络,从工作站到托管数据库和虚拟化平台的关键服务器。这些变体为附属机构提供了更详细的部署选项和设置。
除了简单地更新加密器之外,此版本还整合了工具、反分析和操作员工效学,使攻击者能够在同一攻击活动中同时攻击Windows、Linux和VMware ESXi。其结果是一条完善的杀伤链:更隐蔽的入侵、更快的加密前防御抑制,以及可延长停机时间的虚拟机管理程序级影响。
对于虚拟化关键工作负载的企业而言,LockBit 5.0勒索软件模型的风险更高;防御者必须将虚拟机管理程序视为Tier-0级别,并假设其爆炸半径远远超出单个端点。
LockBit 5.0勒索软件并非彻底重写,而是对成熟代码库的积极演进,优先考虑规避攻击和速度。其跨平台设计使攻击者无需切换技术,即可在不同操作系统之间顺利切换,而随机扩展、日志篡改和区域设置检查等常见行为则使检测工程更加复杂。
至关重要的是,ESXi加密器以虚拟机数据存储为目标,将一台受感染的主机转化为数十个加密服务。结合加密前的终止服务和Windows上的遥测致盲技术,LockBit 5.0最大限度地缩短了响应者的时间窗口,并削弱了常见的遏制模式,例如网络结构内快照和同网络备份。
此外,LockBit 5.0版本包含重大技术改进,包括删除感染标记、加快加密速度和增强规避能力。趋势科技的研究人员警告称,尽管执法部门在2024年初对LockBit基础设施进行了打击行动,但该团伙通过“积极改进”其策略、技术和程序(TTP),展现出了韧性和保持领先于竞争对手的能力。
近日,超过15个活跃的知名暗网勒索软件团伙集体宣布“退休”,他们在暗网网络犯罪论坛BreachForums上发帖表示,将停止运营,终止攻击行动,并利用手中的赎金“享受生活”。与此同时,该声明还提到了已被拘留的成员,他们向自2024年4月以来被各国执法部门逮捕的8名成员表示“悼念与歉意”,誓言将对当局进行报复,并努力争取释放他们。
这些勒索软件团伙通过暗网发布声明称,其“行动目的”已达成——即“揭露全球不安全的数字基础设施与系统”,而非单纯勒索。部分团伙甚至试图将自身行为描述为“促进信息安全研究”,虽然此类说法在业界引发广泛质疑。
据悉,包括Lapsus$、Scattered Spider、IntelBroker、ShinyHunters、TOXIQUEROOT等在内的15个以上的暗网勒索软件团伙确认参与此次“退出”,其中不乏曾攻击谷歌、美国航空、英国航空、开云集团、捷豹路虎、米高梅度假村和玛莎百货等知名企业的团伙。
“金色降落伞”和悄无声息的退出 这些勒索软件团伙坚称,担心他们消失是多余的,并表示:“如果你们担心我们,别担心……我们会用我们积累的数百万美元享受我们的‘金色降落伞’。其他人会继续研究和改进你们日常生活中使用的系统。我们会保持沉默。”
他们将退出描述为“享受金色降落伞”的机会,他们称现在将转为“沉默”,并表示“沉默现在将成为我们的力量”,一些成员计划靠积累的钱退休,而其他一些成员据称计划专注于安全研究,而不是攻击。
该声明语气强硬,指出仍被拘留的成员不会被遗忘,特别是对2024年4月被法国当局逮捕的4人表示慰问,称其为“牺牲者”。这些团伙誓言将努力争取释放这些成员,并暗示将对执法部门进行报复。
尽管“宣布退休”看似高调退出,但“暗网下/AWX”认为,这更像是一场策略性公关秀。Black Duck高级员工顾问Nivedita Murthy表示:“各组织应该对这些声明持保留态度。其中一些团体可能决定退出并享受他们的收益,但这并不能阻止模仿团体崛起并取代他们。”
一位匿名安全专家指出:“FBI并不会因为一句‘退休’声明就放弃全球追捕,后续逮捕行动仍将持续。”
此外,“暗网下/AWX”综合多个信源分析,此举可能是团伙内部重组、洗白或更换身份的前兆,未来不排除继续以相同名称或全新品牌继续开展攻击。“退休”声明长期以来一直是行动重置的幌子。黑客通过放弃旧名,躲避起诉,并以新面目重新出现。The Register和其他观察人士警告称,数十亿美元的损失使得黑客不太可能轻易消失。最好的情况是,这项声明标志着黑客行动的暂停。最坏的情况是,它掩盖了黑客为更复杂的攻击活动所做的准备。
无法判断如此多的勒索软件团伙突然“退出”的原因 虽然勒索软件团伙假装退休并在其他地方重组并不罕见,但如此多的团伙选择在同一时间和地点宣布告别,却颇为奇怪。这些公告至少看起来是真实的,因为它们是由这些团伙运营的官方Breachforums账户发布的,然后再转发到他们控制的Telegram账户上。
宣布退出的小型勒索软件团伙包括Trihash、Yurosh、yaxsh、WyTroZz、N3z0x、Nitroz、TOXIQUEROOT、Prosox、Pertinax、Kurosh、Yukari和Clown。IntelBroker是名单上较知名的勒索软件团伙之一,据信该团伙除了自行发起网络攻击外,还运营着BreachForums。目前尚不清楚此次所谓的退出是否会对BreachForums的未来发展产生影响。这些看似奇怪的小型勒索软件团伙可能与Scattered Spider有关,据报道,Scattered Spider的团伙结构更加灵活,允许其他团伙的黑客随时发动特定攻击。安全研究人员还指出,大多数这些勒索软件团伙都是在 8 月份才开始相互联系并与 Scattered Spider 互动,而这距他们宣布退出仅过去了几周。
进一步佐证“假退休”理论的是,警方对“ShinyHunters”和“Scattered Spider”成员的八次突袭和逮捕,只抓获了低级到中级的参与者,例如SIM卡交换计划中的“钱骡”和“走狗”。据信,这两个团伙的高层领导目前都尚未被抓获。
然而,“暗网下/AWX”认为,勒索软件团伙之所以采取这一伎俩,大概是出于对执法部门关注的恐惧和恐慌。Scattered Spider凭借其于5月份发起的社会工程攻击活动,成为今年最臭名昭著的黑客组织。该组织首先针对英国的大型零售商,随后蔓延至财富500强保险公司和澳大利亚航空公司Qantas等目标。据信 ShinyHunters也在开展针对本地SalesForce安装的平行攻击活动,但最近几周越来越多的证据表明,这两个团伙已经合作了一段时间。据报道,Scattered Spider刚刚有另外两名成员被逮捕,他们都是英国青少年,涉嫌参与2024年对伦敦交通局 (TfL) 的黑客攻击。
但无论目前的恐慌程度如何,黑客几乎肯定会组建或加入新的勒索软件团伙,卷土重来;至少历史经验表明会如此。所谓的“金色降落伞”和数百万美元的回报很可能只是个幌子,让人们误以为他们的退出是合法的,其意图只是在几周或几个月后以全新的品牌卷土重来。
对未来的担忧:警惕“退而不休”陷阱 勒索软件仍是全球网络安全的主要威胁。虽然此次“集体告别”令人瞩目,但安全专家提醒各大机构不要放松警惕。“退出”声明可能为障眼法,掩盖新一轮更隐蔽的行动。
专家预计,未来勒索攻击可能会以不同的名义进行,尤其是考虑到这些组织承认获取的巨额利润。预谋网络攻击的可能性仍然存在,这又增加了一层不确定性。
Bugcrowd创始人凯西·埃利斯(Casey Ellis)表示:“最好将此声明视为公关噱头,而不是真正的告别。”从历史上看,网络犯罪分子很少会像传统意义上那样退休。相反,他们会重塑形象、重组组织,或转向新的策略和行动,否则就会被抓获。
iCOUNTER情报行动合伙人戴夫·泰森(Dave Tyson)赞同埃利斯的观点,他说:“这绝不是退休,这只是犯罪正常生命周期的一部分。群体为了特定的目的聚集在一起,组成单位来执行他们的计划,并退出可定义的身份,以降低对集体或单位的关注。”
因此,这15个勒索软件团伙的沉默应该被理解为一种伪装。一些成员无疑会转向邻近领域,例如漏洞利用开发或灰色市场“安全研究”。其他成员则会加入新的行动,带着多年攻击中积累的经验、策略和资金。网络犯罪行业不会消失;它会变异,而且每次变异往往比上一次更具韧性。
目前,各国执法部门尚未对这波声明做出公开回应。网络安全机构建议企业继续强化基础设施防护,提升应急响应能力,以应对未来可能出现的新变种或模仿攻击。
长期以来,电信公司一直是黑客青睐的目标,因为它们存储了客户的宝贵财务信息以及来自政府和企业的关键数据和通信,美国电信运营商T-mobile、澳大利亚电信运营商Optus、加拿大电信运营商Telus都曾发生过数据泄露事件。
近日,暗网勒索软件团伙Warlock窃取了法国电信公司Orange(orange.com)的商业客户数据,并将其发布到该勒索软件团伙的暗网泄密网站上。
据消息人士透露,Orange于7月底披露了此次数据泄露事件并向法国有关部门进行了报告,该事件针对Orange公司的内部系统,与一个自称Warlock的暗网勒索软件团伙有关,该勒索软件团伙于8月中旬在其暗网泄密网站上发布了约4GB的数据。
Orange的一位发言人证实,遭勒索软件团伙入侵后,被盗的数据已于8月份被公布在暗网。但该发言人表示:“威胁行为者对我们系统的访问权限有限,只能窃取过时或低敏感度的数据。Orange在发布事件之前就已通知受影响的公司,自事件发生以来,我们一直与他们以及相关部门密切合作。”
勒索软件团伙Warlock将其勒索软件出租给黑客团伙,黑客团伙利用该勒索软件加密锁定受害者的计算机。然后,他们要求受害者付费才能解锁受影响的系统。
此次安全事件只是这家法国电信运营商今年遭遇的最新一起安全事件。今年7月,攻击者在另一起入侵事件中窃取了该公司比利时分部的客户数据,而另一起事件导致罗马尼亚员工数据被发布到暗网上。
”暗网下/AWX“访问了Warlock的暗网泄密网站(http://zfytizegsze6uiswodhbaalyy5rawaytv2nzyzdkt3susbewviqqh7yd[.]onion),发现该勒索软件团伙近期最新发布了大量的受害者,目前其暗网泄密网站共发布了47个受害者信息,其中4个受害者(colt.net、clearybuilding.us、primrose.com、tagorg.com)处于勒索状态,数据尚未公开。在已经发布的orange.com的介绍中,该勒索软件团伙写道”这只是部分文件和文件列表。完整文件集需单独购买。“
点击查看orange.com泄露的部分文件,发现包含7个文件:4e162b1e06edc0b87c7f35540b40de3ffc2e0535210e695e51232b61fc145395.txt(15.31 MB)、
airfrance.bak(2.75 GB)、AzureDevOps_Configuration_9862091848871640963F.bak(1.52 GB)、DFS-PRD-061.E.txt(15.31 MB)、OBS-Airbus WoW-WP follow-up v191211 – Editable.xlsx(
1.94 MB)、orange.dat(63.7 MB)、SCD-PRD-001.txt(206.11 KB),”暗网下/AWX“查看了SCD-PRD-001.txt,发现某台设备E盘的文件列表,证明了数据的真实性。
为了尽快收到赎金,Warlock团伙在其暗网泄密网站声称”为了在网络攻击后最大限度地减少损失,迅速支付赎金至关重要!🕒💸 您支付得越快,我们就能越快解密您的数据。🔓 每拖延一天,损失就会不断累积!📈😓 随着时间的推移,您的声誉将受到更大冲击,业务将变得更加艰难,损失也将持续增长。📉😟您需要在短期成本与长期损害之间做出明智选择。⚖️💡“,另外,该团伙还表示”如果您所在的组织是非营利性公益组织,致力于为残疾人或其他特殊需求群体提供服务,且我们的成员之一对您的系统进行了攻击,请不要担心。请立即与我们联系。我们将核实相关信息,并免费为您提供解密程序。此外,我们将提供技术支持直至您的系统恢复正常,并指导您完成漏洞修复工作。“充分展现了扭曲的人性。
稍早前,“暗网下/AWX”曾报道,暗网勒索软件团伙BlackSuit的暗网网站在国际联合执法行动中被查封,这次名为“Operation Checkmate”的执法行动是由美国司法部、联邦调查局(FBI)、美国外国资产控制办公室(OFAC)、欧洲刑警组织(Europol)、英国国家打击犯罪局以及加拿大、德国、乌克兰、立陶宛、爱尔兰和法国的执法机构联合开展的,并得到了网络安全公司Bitdefender的支持。
昨天,美国司法部透露,他们除了捣毁了BlackSuit勒索软件团伙的服务器、域名和暗网勒索网站,还缴获了价值超过一百万美元的加密货币。此举挫败了该勒索软件团伙从美国公司勒索超过3.7亿美元的计划,标志着网络犯罪分子逍遥法外的局面正在逐渐消退。
根据美国司法部2025年8月12日的新闻稿,美国司法部宣布查获了与臭名昭著的BlackSuit勒索软件团伙相关的超过100万美元的加密货币,对网络犯罪网络进行了一次重大打击。此次行动是更广泛的国际行动的一部分,旨在摧毁该勒索软件团伙用于在美国关键行业勒索受害者的关键基础设施。世界各地的执法机构(包括美国、英国、加拿大、德国、爱尔兰和法国)于7月24日联合行动,缴获的资产包括价值1,091,453美元的数字资产、四台服务器和九个域名,有效削弱了该勒索软件团伙的运营和洗钱能力。
BlackSuit勒索软件团伙勒索了超过5亿美元的赎金 根据“暗网下/AWX”所解释的那样,BlackSuit犯罪组织于2023年5月首次出现,与对美国医疗保健发起攻击的Royal勒索软件团伙有着密切的联系,而Royal团伙就是臭名昭著的俄罗斯Conti勒索软件团伙的另辟的分支。仅在美国,BlackSuit勒索软件团伙就攻击了450多名已知受害者,这些受害者来自政府部门、公共安全、医疗保健、制造业、建筑业、能源、教育等领域。
去年, CISA和FBI联合发布警告称,BlackSuit勒索软件团伙在不到两年的时间内向受害者勒索了超过5亿美元的赎金,该团伙对入侵的系统进行加密,并威胁称若不付款,就会将文件发布到暗网上。BlackSuit勒索软件攻击通常要求受害者支付约一百万至一千万美元的赎金,并以比特币支付。已知最大的一笔个人赎金要求高达令人咋舌的6000万美元。
多国联手共同参与了此次打击勒索软件的行动 此次行动被称为“Checkmate行动”,由美国联邦调查局(FBI)、国土安全调查局(HSI)、美国特勤局(US Secret Service)、美国国税局(IRS)刑事调查局以及来自英国、德国、爱尔兰、法国、加拿大、乌克兰和立陶宛的国际合作伙伴共同参与。2025年7月24日,当局实施了此次行动,查封了托管勒索网站和通讯渠道的服务器。此举不仅阻止了正在进行的攻击,还阻止了该团伙迅速重建。
业内人士指出,BlackSuit 的模式严重依赖关联方——即部署勒索软件以赚取一定利润的独立黑客。通过扣押加密货币收益(通常以比特币支付),执法部门打破了这种经济诱因。根据Cybernews分析报告,该组织的全部勒索行为估计已从 450 多家美国公司勒索了超过 3.7 亿美元。
区块链取证在追踪非法资金中发挥关键作用 此次缉获行动的一个关键要素是使用了先进的区块链追踪工具,使调查人员能够通过复杂的数字钱包追踪赎金的流向。美国司法部在新闻稿中分享了如何查获勒索软件受害者勒索的价值1,091,453美元的加密货币的一些细节。
报告解释称,2023年4月4日左右,一名受害者的数据遭到勒索软件攻击加密,并支付了49.3120227比特币(BTC)。交易时,这些比特币价值1,445,454.86美元。美国司法部称,这笔款项的一部分(1,091,453美元)被反复存入和提取到一个加密货币交易所账户,直到2024年1月该交易所冻结了这笔资金。
对于受害者来说,对勒索软件的查封只解决了第一步,但全面获得赔偿仍然任重道远充满挑战。而Bitdefender的专家也补充称,虽然查封勒索软件会切断直接的收入来源,但勒索软件团伙往往会以新的名字重新出现,因此需要持续保持警惕。