Mã độc Ransomware LockBit 5.0: Cơ sở hạ tầng nguy hiểm bị lộ

Cơ sở hạ tầng chính của LockBit 5.0 đã bị lộ, tiết lộ địa chỉ IP 205.185.116.233 và tên miền karma0.xyz đang lưu trữ trang rò rỉ dữ liệu mới nhất của nhóm mã độc ransomware này. Việc phơi bày này cung cấp thông tin tình báo quan trọng trong cuộc chiến chống lại các mối đe dọa mạng.

Chi tiết cơ sở hạ tầng bị phơi bày

Theo nhà nghiên cứu Rakesh Krishnan, máy chủ bị lộ được đặt dưới AS53667 (PONYNET), do FranTech Solutions vận hành. Mạng này được biết đến là nơi thường xuyên bị lạm dụng cho các hoạt động bất hợp pháp.

Trang bảo vệ DDoS của máy chủ hiển thị nhãn hiệu “LOCKBITS.5.0”, xác nhận vai trò của nó trong các hoạt động của nhóm. Sự cố về an ninh vận hành này diễn ra trong bối cảnh LockBit đang tái xuất với khả năng phần mềm độc hại được nâng cao.

Tên miền và hồ sơ WHOIS

Krishnan đã công bố những phát hiện này lần đầu vào ngày 05 tháng 12 năm 2025, thông qua X (trước đây là Twitter), lưu ý rằng tên miền mới được đăng ký gần đây và có liên hệ trực tiếp với các hoạt động của LockBit 5.0.

Hồ sơ WHOIS cho thấy karma0.xyz được đăng ký vào ngày 12 tháng 04 năm 2025, với thời hạn hết hạn vào tháng 04 năm 2026. Tên miền này sử dụng máy chủ định danh của Cloudflare (iris.ns.cloudflare.com và tom.ns.cloudflare.com) và dịch vụ bảo vệ quyền riêng tư của Namecheap, liệt kê Reykjavik, Iceland làm địa điểm liên hệ.

Trạng thái tên miền cho thấy client transfer prohibited, gợi ý các nỗ lực nhằm khóa quyền kiểm soát giữa lúc bị giám sát. Việc này nhấn mạnh tầm quan trọng của việc theo dõi chặt chẽ cơ sở hạ tầng của các nhóm mã độc ransomware.

Các chỉ số thỏa hiệp (IOCs)

Những chỉ số thỏa hiệp sau đây cần được các tổ chức thêm vào danh sách chặn và hệ thống phát hiện xâm nhập của mình để bảo vệ trước các cuộc tấn công liên quan đến LockBit ransomware:

• Địa chỉ IP: 205.185.116.233
• Tên miền: karma0[.]xyz
• MD5 của SmokeLoader (được LockBit sử dụng): e818a9afd55693d556a47002a7b7ef31

Đánh giá lỗ hổng và rủi ro bảo mật

Các bản quét cho thấy nhiều cổng mở trên địa chỉ IP 205.185.116.233, bao gồm cả các dịch vụ truy cập từ xa có lỗ hổng, khiến máy chủ dễ bị gián đoạn. Trong đó, RDP trên cổng 3389 nổi bật là một vector rủi ro cao, có khả năng cho phép truy cập trái phép vào máy chủ Windows. Đây là một lỗ hổng đáng kể mà các nhóm mã độc ransomware có thể khai thác để xâm nhập.

Việc lộ diện các cổng mở này là một cảnh báo cho các chuyên gia an ninh mạng về sự cần thiết phải kiểm tra chặt chẽ cấu hình máy chủ, đặc biệt là các máy chủ có thể liên quan đến các hoạt động nhạy cảm.

Khả năng của LockBit 5.0 và thất bại an ninh vận hành

LockBit 5.0, xuất hiện khoảng tháng 09 năm 2025, hỗ trợ đa nền tảng gồm Windows, Linux và ESXi. Biến thể mã độc ransomware này có các tính năng nổi bật như:

• Sử dụng các phần mở rộng tệp ngẫu nhiên.
• Khả năng né tránh dựa trên định vị địa lý (bỏ qua các hệ thống ở Nga).
• Tăng tốc độ mã hóa thông qua thuật toán XChaCha20.

Thông tin chi tiết về các khả năng của biến thể này có thể được tham khảo tại Cybersecuritynews.com.

Sự phơi bày cơ sở hạ tầng lần này nhấn mạnh những thất bại liên tục trong an ninh vận hành của nhóm. Mặc dù đã bị gián đoạn nhiều lần, LockBit vẫn kiên trì tái tổ chức và tiếp tục các chiến dịch tấn công bằng mã độc ransomware của mình. Các cuộc tấn công ransomware đòi hỏi sự cảnh giác liên tục từ cộng đồng an ninh mạng.

Biện pháp giảm thiểu và khuyến nghị an ninh mạng

Để giảm thiểu rủi ro, các tổ chức nên ngay lập tức chặn địa chỉ IP và tên miền đã được xác định. Các nhà nghiên cứu và chuyên gia an ninh mạng nên tiếp tục theo dõi chặt chẽ để phát hiện các thông tin rò rỉ hoặc hoạt động liên quan đến nhóm mã độc ransomware này.

Việc triển khai các hệ thống phát hiện xâm nhập (IDS) và hệ thống phòng ngừa xâm nhập (IPS) được cập nhật liên tục với các chỉ số thỏa hiệp mới nhất là rất quan trọng. Đồng thời, việc thường xuyên kiểm tra các dịch vụ truy cập từ xa như RDP để đảm bảo chúng không bị lộ ra Internet hoặc được bảo vệ bằng các phương pháp xác thực mạnh mẽ (ví dụ: xác thực đa yếu tố) là cần thiết để tăng cường an ninh mạng tổng thể.