著名的資安大廠 Check Point Research(CPR) 在最新報告中指出,LockBit 在 2025 年 9 月開始,已經展開連續多起跨國的駭客攻擊行動,顯示其「勒索軟體即服務(RaaS)」體系已全面恢復運作。
研究人員觀察到,LockBit 已成功入侵遍及西歐、美洲與亞洲市場約十多家組織或公司,其中大約一半使用最新版 LockBit 5.0,另一半仍採用舊版 LockBit Black。這些攻擊事件中,約 80% 發生於 Windows 系統,另有約 20% 涉及 Linux 與 VMware ESXi 環境。
Check Point 強調,這些案例清楚顯示 LockBit 的 聯盟網路(Affiliate Network) 已重新活躍,其迅速恢復的速度與組織能力,凸顯出成熟網路犯罪集團的高度能力,不可不防。
開放加盟擴大勢力
自 LockBitSupp 於 2025 年 9 月初在暗網論壇宣布「回歸」以來,該組織重新開放加盟,要求新成員支付約 500 美元的比特幣押金才能取得控制面板與加密工具,同時為每名夥伴提供個別憑證(individualized credentials)以便追蹤與管理,象徵其聯盟制度正朝更嚴密的營運模式演進。
LockBit 5.0 的關鍵技術升級
多平台支援(Multi-platform Support)
LockBit 5.0 為 Windows、Linux 及 VMware ESXi 環境分別設計獨立執行檔,使攻擊者能同時鎖定企業多層級基礎架構,擴大破壞範圍。
最佳化加密流程(Optimized Encryption)
新版加密演算法經最佳化後能顯著縮短加密時間,壓縮防禦方的應變窗口,使 IT 管理員與 EDR 系統更難在攻擊完成前攔截行為。
隨機副檔名偽裝(Randomized File Extension)
LockBit 5.0 為每個加密檔案生成隨機 16 位字元作為副檔名,藉此繞過特徵碼式偵測機制,提升隱匿性。
強化反分析機制(Anti-analysis Features)
新版本具備進階反偵測與反調試功能,可有效阻止記憶體轉儲(Memory Dump)與逆向工程(Reverse Engineering),顯著提升鑑識與分析難度。
更新的勒索訊息(Updated Ransom Note)
受害主機上會留下明確標示為「LockBit 5.0」的勒索說明文件,提供專屬談判連結,並設有 30 天倒數計時,延續其「雙重勒索」策略。
建議各家應繼續強化以下防護措施
LockBit 5.0 的回歸與 Check Point Research 報告中提到的攻擊活動,資安圈與市場莫不重視與加強防護,特別是該集團針對 ESXi 虛擬化平台與 Linux 伺服器的攻擊能力,加上更快的加密速度與進階規避技術,使各家公司的資料中心與雲端環境的風險再度升高。
1、強化虛擬化環境安全
確保所有 ESXi 主機與 vCenter 伺服器皆安裝最新安全更新,並嚴格限制管理介面存取來源。
2、落實網路分段(Network Segmentation)
將關鍵虛擬化管理平台與備份系統隔離,降低橫向移動風險。建議搭配 Veeam 等一線的備份軟體,或與之合作的 QNAP、Netapp 等儲存設備品牌,另外各家設備也有個別的備份軟體方案可選擇。
3、部署進階端點防護(EDR/XDR)
由於 LockBit 5.0 可繞過特徵碼偵測,公司與組織應採用具行為分析能力的 EDR 或 XDR 方案,以便及早發現異常活動。在中控台即早發現問題點,協助阻斷部分攻擊,增加一些反應時間。
4、遵循 3-2-1 備份原則
繼續維持至少保留三份備份、使用兩種不同媒介、確保一份離線或不可變,並定期進行演練災難復原。搭配企業儲存設備、NAS、磁帶機等多種媒介備份,本地、異地與雲端也可納入備份環境。
新一代備援方案:QNAP 備份專用機
在勒索攻擊與資料毀損風險持續升高的情況下,QNAP 近期在 QNAP World Tour 2025 預告即將於 2026 年推出一款備份專用機,有自動化保護的機制,能夠自動偵測新加入的虛擬機,還內建備份副本至遠端或雲端的功能,而且在資料傳至遠端前就能先在用戶端完成加密,能防止未授權存取,本地備份及異地備份的副本皆支援資料不可變保護,能防範勒索病毒、防止誤刪、惡意修改。
這項設計理念與 LockBit 5.0 的攻擊型態正好形成對比,為企業提供了一道結合離線性與自動化的「最後防線」,有助於在新一波勒索浪潮中提升整體防護韌性。
首圖由 Google Gemini AI 生成,配圖由 Google Gemini 及 Perplexity AI 生成
