mã độc ransomware LockBit, một trong những nhóm ransomware nguy hiểm nhất thế giới, vẫn tiếp tục hoạt động và phát hành các phiên bản mới nhất bất chấp những hành động trấn áp nghiêm trọng từ các cơ quan thực thi pháp luật.
Các hoạt động của nhóm vẫn tiến triển, với sự xuất hiện của các biến thể mới nhắm mục tiêu vào nhiều hệ thống máy tính và nền tảng khác nhau.
LockBit 5.0: Sự Kiên Cường Sau Các Chiến Dịch Chống Đối
Gần đây, các tài liệu và ảnh chụp màn hình bị rò rỉ đã cung cấp cho các chuyên gia bảo mật cái nhìn chi tiết về cách thức hoạt động tội phạm này quản lý các cuộc tấn công và phối hợp với các đối tác (affiliates) để phát tán mã độc ransomware LockBit trên các mạng lưới.
Phiên bản mới nhất của LockBit vẫn giữ nguyên phần lớn thiết kế và chức năng cốt lõi sau Chiến dịch Cronos – một nỗ lực lớn của các cơ quan thực thi pháp luật nhằm phá vỡ hoạt động của nhóm.
Tuy nhiên, các nhà nghiên cứu bảo mật đã ghi nhận những thay đổi nhỏ về giao diện, bao gồm các trang trí theo chủ đề ngày lễ, cho thấy nhóm vẫn tiếp tục hoạt động mà không có dấu hiệu lo ngại.
Nhóm duy trì một cơ sở hạ tầng phức tạp, cho phép họ quản lý việc đàm phán với nạn nhân và điều phối các cuộc tấn công trên nhiều lĩnh vực và ngành công nghiệp khác nhau trên toàn thế giới.
Các nhà phân tích của Flare đã xác định chương trình đối tác của LockBit vẫn tiếp tục tuyển dụng các đối tác mới, ngay cả khi danh tiếng của nhóm bị ảnh hưởng.
Nhiều tội phạm mạng không còn muốn hợp tác với nhóm, nhưng tổ chức này vẫn tiếp tục hoạt động như thể các hành động thực thi pháp luật chưa từng xảy ra.
Sức bền bỉ này cho thấy tốc độ thích ứng nhanh chóng của các hoạt động tội phạm và khả năng duy trì mô hình kinh doanh ngay cả sau những gián đoạn đáng kể.
Khả năng phục hồi nhanh chóng của nhóm mã độc ransomware LockBit cho thấy thách thức không ngừng mà các đội ngũ an ninh mạng phải đối mặt khi chống lại các hoạt động ransomware có tổ chức.
Phạm Vi Tấn Công Rộng Hơn và Các Biến Thể Ransomware Mới
Khía cạnh đáng lo ngại nhất của LockBit 5.0 liên quan đến việc mở rộng phạm vi mục tiêu trên nhiều hệ điều hành và môi trường ảo hóa.
Các mẫu mã độc ransomware gần đây được các nhà nghiên cứu bảo mật thu thập đã tiết lộ bốn biến thể ransomware khác biệt được phát hiện vào ngày 14 tháng 01 năm 2026.
Những biến thể này bao gồm:
- LB_Black: Được thiết kế cho các hệ thống Windows tiêu chuẩn.
- LB_Linux: Dành cho các môi trường Linux.
- LB_ESXi: Nhắm mục tiêu vào cơ sở hạ tầng ảo hóa, cụ thể là nền tảng VMware ESXi, một thành phần quan trọng trong các môi trường doanh nghiệp và trung tâm dữ liệu.
- LB_ChuongDong: Đại diện cho một biến thể khác, cho thấy khả năng đa dạng hóa và thích ứng của nhóm.
Sự đa dạng hóa này thể hiện một sự chuyển dịch chiến lược của mã độc ransomware LockBit hướng tới các môi trường doanh nghiệp, nơi máy ảo và cơ sở hạ tầng đám mây là những mục tiêu phổ biến.
Việc nhắm mục tiêu vào LB_ESXi đặc biệt đáng chú ý, vì nó cho phép mã độc ransomware mã hóa nhiều máy ảo cùng lúc, gây ra tác động phá hoại lớn hơn và làm gián đoạn nghiêm trọng hoạt động của tổ chức.
Chương Trình Đối Tác và Mô Hình Ransomware-as-a-Service (RaaS)
Các tài liệu về bảng điều khiển đối tác bị rò rỉ cho thấy chính xác cách nhóm mã độc ransomware LockBit quản lý các khoản thanh toán, thiết lập quy tắc cho các đối tác và xử lý việc tuyển dụng thành viên mới vào hoạt động của họ.
Điều này cung cấp những hiểu biết chưa từng có về các hoạt động kinh doanh của mô hình Ransomware-as-a-Service (RaaS) đã phát triển như một khuôn khổ chủ đạo trong các cuộc tấn công mạng.
Mô hình RaaS cho phép các đối tác sử dụng công cụ và cơ sở hạ tầng của LockBit để thực hiện các cuộc tấn công, đổi lại một phần tiền chuộc.
Sự kiên trì của chương trình đối tác này, bất chấp các hành động chống lại nhóm, nhấn mạnh khả năng phục hồi của mô hình kinh doanh RaaS và thách thức trong việc ngăn chặn hoàn toàn các nhóm tội phạm mạng.
Tận Dụng Chỉ Số Thỏa Hiệp (IOCs) trong Phát Hiện Xâm Nhập
Sự có sẵn của các mẫu mã độc ransomware LockBit được cập nhật này cung cấp cho các đội ngũ an ninh mạng những chỉ số thỏa hiệp (IOCs) hiện tại cần thiết cho các biện pháp phòng thủ.
Các tổ chức hiện có thể sử dụng các chi tiết kỹ thuật này để xác định xem mạng lưới của họ có phải đối mặt với LockBit 5.0 hay không.
Việc hiểu rõ các biến thể ransomware này giúp các chuyên gia an ninh mạng phát triển các quy tắc phát hiện tốt hơn và chiến lược phòng ngừa hiệu quả.
Các IOCs bao gồm các dấu hiệu kỹ thuật về sự hiện diện của mã độc, chẳng hạn như hàm băm của các tệp độc hại, địa chỉ IP và tên miền máy chủ C2 (Command and Control), hoặc các mẫu hành vi đặc trưng.
Việc tích hợp các IOCs mới nhất vào hệ thống phát hiện xâm nhập (IDS/IPS), SIEM và các giải pháp EDR là rất quan trọng để chủ động xác định và ngăn chặn các cuộc tấn công của mã độc ransomware LockBit.
Đồng thời, việc phân tích sâu các mẫu mã độc mới giúp hiểu rõ hơn về các kỹ thuật, chiến thuật và quy trình (TTPs) mà nhóm mã độc ransomware LockBit sử dụng, từ đó nâng cao khả năng phòng thủ tổng thể.
