بازگشت گروه باج‌افزاری LockBit با سایت جدید افشای داده و ۷ قربانی تازه

گروه باج‌افزاری LockBit دوباره در حال بازگشت است و یک سایت جدید برای افشای داده‌ها راه‌اندازی کرده و هفت قربانی جدید را فهرست کرده است.

LockBit زمانی ترسناک‌ترین گروه باج‌افزاری شناخته می‌شد و همچنان با بیش از ۲۷۰۰ قربانی در شش سال فعالیت خود، فاصله زیادی با سایر گروه‌ها دارد. اما مجموعه‌ای از عملیات‌های بین‌المللی از سوی نیروهای مجری قانون که از فوریه ۲۰۲۴ آغاز شد، این گروه را به شدت مختل کرد و از آن زمان LockBit برای بازگشت پایدار با مشکل مواجه بوده است.

نسخه LockBit 4.0 که اوایل ۲۰۲۵ منتشر شد، نتوانست توجه زیادی جلب کند و هرگز به طور کامل عرضه نشد. در همین زمان، رقبایی مثل Qilin توانستند با شرایط جذاب مانند تقسیم سود و امکانات بهتر، مهاجمان همکار را به سمت خود جذب کنند.

اما به نظر می‌رسد نسخه LockBit 5.0 که در سپتامبر در فروم زیرزمینی RAMP معرفی شد، به گروه کمک کرده تا کمی دوباره قدرت بگیرد. این گروه از آن زمان یک سایت جدید افشای داده در دارک‌وب راه‌اندازی کرده و قربانیان جدیدی را ادعا کرده است، طبق گزارش جدیدی که Cyble به مشتریان خود ارسال کرده.

LockBit remains the most dominant ransomware group of all time

LockBit «کاملاً فعال شده است»

با وجود نزدیک دو سال تلاش برای بازگشت، LockBit همچنان فعال‌ترین گروه باج‌افزاری در طول تاریخ خود باقی مانده است؛ تعداد ۲۷۵۷ قربانی آن بیش از دو برابر نزدیک‌ترین رقبای آن مانند Qilin, Akira, Play و CL0P است.

با وجود این سابقه، مسیر بازگشت LockBit دشوار بوده، زیرا دستگیری‌ها، افشای کد منبع و نشت‌های عملیاتی بارها این گروه را در مسیر بازسازی مختل کرده و به رقبا مزیت داده است.

اما Cyble امروز به مشتریان گزارش داد که LockBit «عملیات‌های عمومی باج‌افزاری خود را به طور کامل فعال کرده است».

سایت جدید افشای داده‌ها در ۵ نوامبر راه‌اندازی شده و در حال حاضر ۲۳ قربانی را فهرست کرده، اما Cyble گزارش داده که فقط ۷ قربانی جدید هستند و بقیه قبلاً نیز توسط گروه ادعا شده بودند.

نسخه جدید LockBit 5.0 که به‌طور داخلی “ChuongDong” نامگذاری شده، محرک اصلی بازگشت گروه بوده است. این نسخه شامل یک بازتوسعه کامل پنل و لاکرهای باج‌افزار است و بدافزار جدید ماژولارتر شده، رمزگذاری را سریع‌تر انجام می‌دهد و توانایی بیشتری برای فرار از دفاع‌های امنیتی دارد. مبهم‌سازی کد یکی از ویژگی‌های کلیدی نسخه جدید است که محیط‌های Linux، Windows و VMware ESXi را هدف قرار می‌دهد.

LockBit has had significant success targeting financial companies

قربانیان، صنایع و کشورهای هدف LockBit

یکی از قربانیان جدید LockBit یک خطوط هوایی آسیایی است که خدمات مسافربری منطقه‌ای و پروازهای چارتری ارائه می‌دهد. قربانی دیگر یک شرکت بزرگ املاک در منطقه کارائیب است.

با بررسی ۴۲ قربانی ادعا شده توسط LockBit در سال ۲۰۲۵، نکته قابل توجه نوع صنایع و کشورهایی است که توسط این گروه هدف قرار گرفته‌اند، که با سایر گروه‌های باج‌افزاری متفاوت است.

LockBit has had more success in South America than other ransomware groups

LockBit برخلاف تصور، در هدف قرار دادن سازمان‌های مالی موفق بوده است. این گروه در سال ۲۰۲۵ قربانیان بیشتری در بخش بانکداری، خدمات مالی و بیمه (BFSI) نسبت به سایر صنایع داشته است. در حالی که به طور کلی این بخش جزو ۱۰ صنعت اول هدف‌گیری‌شده توسط باج‌افزارها نیست، چون معمولاً کنترل‌های امنیتی قوی‌تری دارد.

نکته قابل توجه دیگر، موفقیت LockBit در هدف قرار دادن سازمان‌های جنوب آمریکا است، که به طور چشمگیری با دیگر گروه‌ها تفاوت دارد. بیشتر حملات گروه‌های دیگر بر آمریکا، کانادا و اروپا متمرکز است.

در نهایت، هنوز مشخص نیست که LockBit این بار می‌تواند یک بازگشت پایدار داشته باشد یا نه. مهاجمان همکار (affiliates) افراد فرصت‌طلبی هستند و به سمت گروه‌هایی می‌روند که بیشترین سود و احتمال موفقیت را ارائه دهند. بازگشت LockBit وابسته به این است که بتواند این افراد را قانع کند که هنوز ارزش دارد جزو گروه‌های برتر باشد.