此次服务器信息曝光,再度表明该勒索软件团伙在运营安全方面存在长期疏漏。尽管多次受到打击,这个犯罪组织却依然活跃。
关键基础设施暴露
LockBit 5.0勒索软件团伙的关键服务器设施遭到曝光,其最新数据泄露托管在IP地址205.185.116.233及域名karma0.xyz。研究人员Rakesh Krishnan发现,该服务器位于AS53667网络(由FranTech Solutions运营的PONYNET,该网络常被用于非法活动),服务器显示的DDoS防护页面标注有“LOCKBITS.5.0”标识,证实了其与LockBit团伙的关联。

运营安全漏洞
这一安全漏洞的出现,正值LockBit团伙增强其恶意软件功能并试图重新活跃之际。Krishnan于2025年12月5日通过X平台(原Twitter)首次公开这一发现,指出该域名近期才注册,且与LockBit 5.0的活动有直接关联。
域名注册详情
WHOIS记录显示,karma0.xyz域名注册于2025年4月12日,有效期至2026年4月,使用Cloudflare域名服务器(iris.ns.cloudflare.com和tom.ns.cloudflare.com),并通过Namecheap的隐私保护服务将联系地址设为冰岛雷克雅未克。域名状态显示为“禁止客户转移”,表明运营者试图在审查期间锁定控制权。
服务器端口风险
扫描显示205.185.116.233服务器开放了多个端口,包括存在漏洞的远程访问端口,使服务器面临潜在的破坏风险:
其中3389端口的RDP服务尤为危险,可能导致未经授权访问Windows主机。
LockBit 5.0技术特征
LockBit 5.0于2025年9月左右出现,支持Windows、Linux和ESXi系统,具有随机文件扩展名、基于地理位置规避(跳过俄罗斯系统)以及通过XChaCha20加速加密等特征。
这次事件再次凸显了该团伙在运营安全上的长期缺陷。尽管多次受挫,他们仍未停止活动。安全防御者应立即封锁相关IP和域名,研究人员可继续监控可能的进一步泄露。
