HackerNews 编译,转载请注明出处:
LockBit 5.0 的核心基础设施遭到曝光,泄露的信息包括 IP 地址 205.185.116.233,以及用于托管该勒索软件组织最新泄露站点的域名 karma0.xyz。
安全研究员拉克什・克里希南透露,该服务器隶属于编号为 AS53667 的网络(即由 FranTech Solutions 运营的 PONYNET 网络),这一网络常被非法活动滥用。服务器显示的分布式拒绝服务(DDoS)防护页面带有 “LOCKBITS.5.0” 标识,证实其为该组织的运营资产。
此次运营安全漏洞曝光之际,LockBit 组织正凭借增强的恶意软件攻击能力卷土重来。
克里希南于 2025 年 12 月 5 日通过 X 平台(前身为推特)首次公开相关发现,指出该域名注册时间较新,且与 LockBit 5.0 的活动存在直接关联。
WHOIS 域名注册信息显示,karma0.xyz 注册于 2025 年 4 月 12 日,有效期至 2026 年 4 月,使用 Cloudflare 的域名服务器(iris.ns.cloudflare.com和tom.ns.cloudflare.com),并通过 Namecheap 的隐私保护服务将联系地址标注为冰岛雷克雅未克。
该域名状态显示 “禁止客户转移”,表明该组织在受到审查的情况下,正试图巩固对域名的控制权。
扫描结果显示,IP 地址 205.185.116.233 开放了多个端口,包括存在漏洞的远程访问端口,这使得服务器面临被入侵干扰的潜在风险。
其中,3389 端口的远程桌面协议(RDP)是高风险攻击入口,可能导致攻击者未经授权访问这台 Windows 主机。
LockBit 5.0 于 2025 年 9 月左右问世,支持 Windows、Linux 和 ESXi 操作系统,具备随机文件扩展名、基于地理位置的规避机制(跳过俄罗斯相关系统)等特性,并通过 XChaCha20 加密算法提升加密速度。
此次基础设施曝光凸显了该组织持续存在的运营安全漏洞。尽管 LockBit 多次遭到打击,但仍顽固活跃。防御方应立即封禁相关 IP 地址和域名,研究人员可对后续潜在泄露信息进行持续监控。
消息来源:cybersecuritynews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
