تحلیل فنی LockBit 5.0 و مدل حمله دو مرحلهای آن
گروه باجافزاری LockBit 5.0 یکی از فعالترین و پیچیدهترین شبکههای Ransomware-as-a-Service (RaaS) در جهان است.
این گروه که فعالیتش را در سال ۲۰۱۹ با نام ABCD ransomware آغاز کرد، در سال ۲۰۲۰ با نام رسمی LockBit شناخته شد.
در سال ۲۰۲۵، نسخهی جدید این باجافزار با تمرکز بر افزایش پنهانکاری، سرعت رمزگذاری و گریز از سامانههای امنیتی معرفی شد.
به گفتهی محققان Flashpoint و Trend Micro، نسخهی 5.0 نشان میدهد که LockBit نهتنها پس از حملات پلیسی و افشاهای داخلی متوقف نشده، بلکه به سرعت در حال بهبود عملکرد خود است.
LockBit 5.0 چیست و چه ویژگیهایی دارد؟
LockBit طی پنج سال اخیر به یکی از منسجمترین پلتفرمهای RaaS تبدیل شده است.
توسعهدهندگان این باجافزار بهجای بازنویسی کامل کد، نسخهی ۴.۰ را بهروزرسانی کردند و امکانات جدیدی را اضافه نمودند.
مهمترین تغییرات نسخهی ۵.۰ شامل موارد زیر است:
-
معماری دو مرحلهای (Two-Stage Execution Model)
-
بهکارگیری Control Flow Obfuscation برای مخفی کردن منطق کد
-
استفاده از Dynamic API Resolution برای جلوگیری از شناسایی توابع
-
اجرای تزریقی از طریق Process Hollowing
-
حذف قلابهای امنیتی با Library Unhooking
-
استفاده از ETW patching برای فرار از EDR
این ویژگیها نشان میدهد که توسعهدهندگان LockBit تلاش میکنند با تغییر ساختار اجرای بدافزار، روند شناسایی را برای سیستمهای دفاعی دشوارتر کنند.
مدل اجرای دو مرحلهای LockBit 5.0
مرحله اول: Loader مخفی و گریز از EDR
Loader مرحلهی اول، وظیفهی آمادهسازی و اجرای Payload را بهصورت پنهان بر عهده دارد.
در این مرحله، کد مسیر اجرای خود را بهصورت پویا تعیین میکند تا مهندسی معکوس سختتر شود.
بدافزار بهجای استفاده از نامهای ثابت API، آنها را در زمان اجرا با الگوریتم هش اختصاصی پیدا میکند.
Loader نسخهی پاک NTDLL و Kernel32 را از دیسک بارگذاری میکند و هرگونه تغییر احتمالی از سوی ابزارهای امنیتی را حذف میکند.
در پایان، Loader فرآیند جدیدی از defrag.exe را در حالت تعلیق ایجاد کرده و Payload رمزگشاییشده را در حافظه تزریق میکند.
تحلیل Flashpoint نشان داد که Loader بدون فعالکردن هشدارهای امنیتی، Payload را به حافظه منتقل میکند و فرآیند را از همان نقطه ادامه میدهد.
مرحله دوم: Payload مخرب و تخریبگر
در مرحله دوم، بدافزار اصلی با نام “ChuongDoung Locker v1.01” اجرا میشود.
این بخش مسئول رمزگذاری فایلها، تخریب دادهها و ارسال یادداشت باجگیری است.
قابلیتهای مهم مرحله دوم عبارتند از:
-
رمزگذاری چندریسمانی با کلیدهای Curve25519 و الگوریتم XChaCha20
-
غیرفعالسازی سرویسهای حیاتی مانند VSS و WSearch
-
اجرای حالت تخریب خاموش (Destruction-only) بدون نمایش یادداشت باجگیری
-
حذف نکردن فایلهای سیستمی حیاتی برای حفظ پایداری ویندوز
-
جلوگیری از اجرا در کشورهای روسیه و متحدان آن، و همچنین فیلیپین
این ویژگیها نشان میدهد که LockBit 5.0 برای عملیات هدفمند طراحی شده است، نه صرفاً باجگیری کورکورانه.
تأثیر امنیتی بر سازمانها
نسخهی جدید LockBit ثابت میکند که گروههای باجافزاری با وجود فشارهای بینالمللی، پیشرفتهتر و ساختارمندتر شدهاند.
LockBit 5.0 نشان میدهد که توسعهدهندگان این گروه بهجای توقف، در حال استفاده از تکنیکهای پیشرفتهی ضدتحلیل و فرار از تشخیص هستند.
برای مقابله با این تهدید، تیمهای امنیتی باید:
-
نظارت مستمر بر دارکوب و فرومهای جرایم سایبری داشته باشند.
-
از ابزارهایی مانند Flashpoint و VirusTotal Intelligence برای کشف IoCها استفاده کنند.
-
با رفتارشناسی امنیتی (Behavioral Detection)، فعالیتهای مشکوک مانند library unhooking را شناسایی کنند.
-
برنامه واکنش به رخداد (IR Playbook) شامل نسخه پشتیبان آفلاین و پروتکل مذاکره با مهاجمان را آماده نگه دارند.
-
وصلههای امنیتی را بر اساس نقاط ضعف مورد علاقهی LockBit در اولویت قرار دهند.
نتیجهگیری
LockBit 5.0 فقط یک نسخهی جدید نیست؛ بلکه نشانهای از بلوغ فنی و تجاری مدل باجافزار بهعنوان سرویس (RaaS) است.
حتی پس از بازداشتها، افشاها و حملات بینالمللی، این گروه همچنان فعالیت دارد و کد خود را بهبود میدهد.
باجافزار دیگر صرفاً یک تهدید فنی نیست — بلکه یک صنعت کامل با مدل اقتصادی خاص خود است.
بنابراین تنها با ترکیب هوش تهدید (Threat Intelligence)، تحلیل رفتاری (Behavioral Analysis) و آمادگی سازمانی (Incident Preparedness) میتوان در برابر آن مقاومت کرد.
دیدگاه ها بسته هستند