在2024年2月一次重大的执法打击行动后，臭名昭著的LockBit勒索软件团伙重新出现，并在其成立六周年之际发布了新版本——LockBit 5.0。

趋势科技已识别并分析了适用于Windows、Linux和VMware ESXi的二进制文件，证实该组织持续专注于可能瘫痪整个企业网络的跨平台攻击。

2025年9月初发现的这些新变种标志着勒索软件的重大演变。这一最新版本延续了该团伙同时针对多个操作系统的策略，这是自2021年LockBit 2.0发布以来就采用的战术。

高级跨平台攻击

LockBit 5.0变体是为其目标操作系统创建的，它们采用复杂的技术来逃避检测并将破坏最大化。

• Windows变体：此版本采用高度混淆和打包技术，通过DLL反射加载其恶意有效载荷，以增加分析难度。它还实施了反分析措施，例如修补Windows事件跟踪（ETW）API，并终止63种不同的安全相关服务。Windows变体还具有新格式且更用户友好的帮助菜单。

• Linux变体：Linux版本与Windows版本的功能相同，为攻击者提供了一套一致的命令行选项，用于针对特定目录和文件类型。它可以记录自身活动，显示哪些文件正在被加密以及哪些文件夹被排除在外。

• ESXi变种：一种专门针对VMware的ESXi虚拟化基础设施的专用变种。这是一个严重的威胁，因为攻陷单个ESXi主机可能会让攻击者一次加密数十甚至数百台虚拟机，造成大规模破坏。该ESXi变种包含针对虚拟机加密优化的参数。

趋势科技的分析显示，LockBit 5.0是其前身LockBit 4.0的直接演进版本。这两个版本采用相同的哈希算法和API解析方法，表明是同一批开发者在其现有代码库的基础上进行的开发。

关键行为在新变体中保持一致。加密文件会附加一个随机的16字符扩展名，这使得识别和恢复变得更加困难。

这款勒索软件还包含一些检查机制，以避免在具有俄语设置或地理位置位于俄罗斯的系统上执行。加密过程完成后，它会清除事件日志以掩盖踪迹。

LockBit 5.0的技术改进使其比之前的版本危险得多。高度的混淆处理延缓了检测特征码的开发，而对虚拟化环境的侧重则放大了其潜在影响。

该组织在“克罗诺斯行动”后能够重组并发布升级版勒索软件，这体现了其恢复能力。

建议各组织通过主动搜寻威胁以及加强终端和网络防护来提升自身的安全态势。应特别注意保护虚拟化基础设施的安全，因为它已成为主要目标。