LockBit 5.0的关键基础设施被曝光,IP地址为 205.185.116.233,域名karma0.xyz托管了该勒索软件组织的最新泄露网站。
据研究员Rakesh Krishnan称,该服务器托管在 AS53667(PONYNET,由 FranTech Solutions 运营)下,该网络经常被滥用于非法活动。该服务器显示了一个带有“LOCKBITS.5.0”标识的 DDoS 防护页面,证实了它在该组织行动中的作用。
此次安全漏洞发生之际,LockBit 正凭借其增强的恶意软件攻击能力卷土重来。
Krishnan 于 2025 年 12 月 5 日首次通过 X(前身为 Twitter)公布了调查结果,并指出该域名是最近注册的,与 LockBit 5.0 的活动有直接联系。
WHOIS 记录显示 karma0.xyz 于 2025 年 4 月 12 日注册,有效期至 2026 年 4 月,使用 Cloudflare 名称服务器(iris.ns.cloudflare.com 和 tom.ns.cloudflare.com),Namecheap 隐私保护将冰岛雷克雅未克列为联系地点。
域名状态显示禁止客户端转移,表明有人试图在审查中加强控制。
扫描结果显示 205.185.116.233 上有多个开放端口,包括易受攻击的远程访问端口,使服务器面临潜在的中断风险。
| 端口 | 协议 | 应用 |
|---|---|---|
| 21 | TCP | FTP服务器 |
| 80 | TCP | Apache/2.4.58 (Win64) OpenSSL/3.1.3 PHP/8.0.30 G7gGBXkXcAAcgxa.jpg |
| 3389 | TCP | RDP(WINDOWS-401V6QI) |
| 5000 | TCP | HTTP |
| 5985 | TCP | WinRM |
| 47001 | TCP | HTTP |
| 49666 | TCP | 文件服务器 |
端口 3389 上的 RDP 连接是一个高风险途径,可能会允许未经授权访问 Windows 主机。
LockBit 5.0 于 2025 年 9 月左右发布,支持Windows、Linux 和 ESXi,具有随机文件扩展名、基于地理位置的规避(跳过俄罗斯系统)以及通过 XChaCha20 加速加密等功能。
此次泄露事件凸显了该勒索组织持续存在的安全漏洞,在去年美国联邦调查局和英国国家犯罪局查封LockBit勒索软件组织的基础设施后,该团伙仍旧卷土重来。网络安全防护团队应立即封锁该IP地址和域名;研究人员可以持续监控,以防进一步泄露。