LockBit 5.0勒索軟體現身 跨平台攻擊能力再升級

網路安全研究人員發現，LockBit勒索軟體集團推出了被形容為「迄今最危險」的新變種LockBit 5.0，該版本在2025年9月為慶祝LockBit集團成立六週年而發布，目前已在實際環境中被發現部署使用。

跨平台威脅擴大

趨勢科技研究人員在9月25日發布的部落格中確認，LockBit 5.0同時存在Windows、Linux和ESXi三種變種。研究團隊指出，這些跨平台版本的存在證實了LockBit持續的跨平台攻擊策略，使攻擊者能夠同時對整個企業網路發動攻擊，從工作站到託管資料庫和虛擬化平台的關鍵伺服器都可能成為目標。

ESXi變種特別針對VMware虛擬化基礎架構，研究人員認為這代表LockBit能力的「關鍵性升級」。由於ESXi伺服器通常託管多個虛擬機器，攻擊者只需執行單一載荷就能加密整個虛擬化環境。

技術改進與威脅升級

LockBit 5.0在技術層面帶來顯著改進，包括移除感染標記、提升加密速度以及增強規避能力。新版本為合作夥伴提供更詳細的部署選項和設定，Windows版本具備更佳的使用者介面和清晰的格式化顯示。

LockBit 5.0勒索軟體描述了執行時的各種選項和設定，包括指定要加密或略過的目錄等基本選項、隱形模式和詳細模式等操作模式，以及註記設定、加密設定和篩選選項等。研究人員表示，這些詳細的指令和參數展示了攻擊者可獲得的靈活性和客製化能力。

LockBit 5.0部署了多項反鑑識技術來躲避偵測。軟體執行後會產生其特有的勒索信件並將受害者導向專屬的洩漏網站，基礎架構維持LockBit既有的受害者互動模式，設有簡化的「與支援聊天」區段供勒索談判使用。

值得注意的是，該變種會在加密後的檔案添加隨機的16字元副檔名，進一步增加復原難度。LockBit 5.0也省略了傳統的檔案結尾標記，使分析工作更加困難。惡意軟體還透過覆寫EtwEventWrite API並插入0xC3（返回）指令來修補該API，藉此停用Windows事件追蹤功能。

與先前的LockBit版本相同，新版本使用地理位置檢查機制，當偵測到俄語語言設定或俄國地理位置時會終止執行。

演進式開發延續家族血統

研究報告強調LockBit 4.0與5.0之間有大量程式碼相同，顯示新版本是「演進式開發」而非完全重寫。兩個版本在字串操作使用相同的雜湊演算法，這是API解析和服務識別的關鍵元件，動態API解析的程式碼結構在兩版本間也極為相似，顯示開發者是在既有的LockBit 4.0程式碼基礎上進行建構。

因此，5.0版本很可能是LockBit勒索軟體家族的延續，而非其他威脅行為者的仿冒或重新包裝產品。

儘管執法部門在2024年初對LockBit基礎架構進行了打擊行動，但研究人員警告，該集團展現出強大的韌性，並透過「積極演進」其戰術、技術和程序（TTPs）來保持領先競爭對手的能力。趨勢科技的發現證實，LockBit集團持續透過技術創新和跨平台擴張來維持其在勒索軟體生態系統中的主導地位，企業組織必須加強對多平台環境的防護，特別是虛擬化基礎架構的安全措施。

回顧LockBit的發展軌跡，從2020年1月以「ABCD」勒索軟體名稱發布的1.0版本開始，歷經2021年6月的2.0版本（LockBit Red）、2022年3月的3.0版本（LockBit Black），以及2025年2月的4.0版本，每次版本更新都帶來新的威脅能力。