Sau nhiều tháng gián đoạn do Chiến dịch Cronos vào đầu năm 2024, nhóm mã độc ransomware LockBit khét tiếng đã trở lại với một khí thế mới. Hoạt động này đi kèm với một kho vũ khí kỹ thuật số được củng cố đáng kể.

Chỉ riêng trong tháng 9 năm 2025, các nhà nghiên cứu đã xác định được khoảng mười hai tổ chức là mục tiêu của hoạt động tấn công tái khởi động này. Điều đáng báo động đặc biệt là tốc độ áp dụng nhanh chóng của biến thể LockBit 5.0 mới.

Sự Trở Lại Của LockBit Và Các Mục Tiêu Toàn Cầu

Biến thể LockBit 5.0 đã chiếm một nửa số cuộc tấn công được xác định trong tháng 9. Các nạn nhân trải rộng khắp Tây Âu, Châu Mỹ và Châu Á.

Điều này cho thấy phạm vi hoạt động toàn cầu của LockBit. Đồng thời, nó khẳng định mạng lưới đối tác rộng khắp của nhóm đã được tái kích hoạt.

Check Point Research đã xác nhận rằng LockBit đang tích cực tống tiền các tổ chức trên nhiều lục địa. Biến thể LockBit 5.0 mới ra mắt, được nội bộ gọi là “ChuongDong”, đã trở thành một mối đe dọa đáng kể đối với các doanh nghiệp trên toàn thế giới. Để biết thêm thông tin chi tiết, bạn có thể tham khảo báo cáo của Check Point Research tại blog.checkpoint.com.

Sự trở lại của LockBit không hề diễn ra một cách âm thầm. Vào đầu tháng 9, quản trị viên của nhóm, LockBitSupp, đã chính thức thông báo về sự trở lại của hoạt động trên các diễn đàn ngầm. Cùng lúc đó, hắn cũng tiến hành tuyển dụng các đối tác mới.

Thông báo này được đưa ra sau nhiều tháng với những thông điệp ngày càng tự tin trên các nền tảng dark web. Vào tháng 5 năm 2025, LockBitSupp đã đăng tải một cách thách thức trên diễn đàn RAMP: “Chúng tôi luôn đứng dậy sau khi bị tấn công.”

Đến tháng 8, hắn lặp lại rằng nhóm đang “quay trở lại làm việc.” Làn sóng lây nhiễm trong tháng 9 đã nhanh chóng xác thực tuyên bố này.

Tốc độ phục hồi hoạt động của LockBit làm nổi bật một lỗ hổng quan trọng trong bức tranh mối đe dọa mạng. Ngay cả các chiến dịch phá hoại tinh vi của cơ quan thực thi pháp luật cũng gặp khó khăn trong việc loại bỏ vĩnh viễn các hệ sinh thái Ransomware-as-a-Service (RaaS) đã được thiết lập tốt.

Cơ sở hạ tầng trưởng thành của LockBit, danh tiếng đã được chứng minh trong giới tội phạm mạng và nền tảng đối tác giàu kinh nghiệm đã cho phép tái thiết nhanh chóng. Điều này diễn ra bất chấp hành động gỡ bỏ trước đó.

Các Cải Tiến Kỹ Thuật Đáng Chú Ý Của LockBit 5.0

LockBit 5.0 giới thiệu một số cải tiến kỹ thuật quan trọng. Những nâng cấp này được thiết kế để tối đa hóa tác động của cuộc tấn công, đồng thời giảm thiểu cửa sổ phát hiện.

Biến thể mới này hiện hỗ trợ các môi trường Windows, Linux và ESXi. Đây là một sự mở rộng cực kỳ quan trọng, cho phép kẻ tấn công xâm nhập đồng thời vào cả cơ sở hạ tầng kết hợp và ảo hóa.

Khoảng 80% các cuộc tấn công được quan sát đã nhắm mục tiêu vào các hệ thống Windows. Trong khi đó, khoảng 20% còn lại tập trung vào các môi trường ESXi và Linux.

Các cải tiến bổ sung trong LockBit 5.0 bao gồm các cơ chế chống phân tích mạnh mẽ hơn. Chúng giúp cản trở các cuộc điều tra pháp y. Các quy trình mã hóa cũng được tối ưu hóa, giúp giảm đáng kể thời gian phản ứng cho các chuyên gia phòng thủ.

LockBit 5.0 còn sử dụng các phần mở rộng tệp gồm 16 ký tự ngẫu nhiên. Điều này làm phức tạp thêm các nỗ lực phát hiện mã độc ransomware.

Nâng Cấp Bảng Điều Khiển Đối Tác và Cơ Chế Tống Tiền

Bảng điều khiển dành cho các đối tác cũng đã nhận được những nâng cấp đáng kể. Nó cung cấp các khả năng quản lý nâng cao với thông tin xác thực riêng biệt cho từng thành viên tham gia.

Các đối tác muốn tham gia vào hoạt động phải gửi khoảng 500 USD Bitcoin. Khoản tiền này để truy cập bảng điều khiển và các gói mã hóa. Đây là một cơ chế kiểm soát nhằm duy trì tính độc quyền và lọc các thành viên tham gia vào mạng lưới mã độc ransomware này.

Các ghi chú tống tiền được cập nhật hiện xác định biến thể là LockBit 5.0. Chúng bao gồm các liên kết đàm phán cá nhân hóa với thời hạn tiêu chuẩn là 30 ngày trước khi dữ liệu bị đánh cắp được công bố.

Thách Thức Đối Với An Ninh Mạng Và Các Chiến Lược Phòng Thủ

Sự tái xuất hiện của LockBit báo hiệu một thách thức nghiêm trọng đối với ngành an ninh mạng. Mặc dù có các hành động thực thi pháp luật cấp cao, các hoạt động mã độc ransomware tinh vi vẫn sở hữu khả năng phục hồi đáng kinh ngạc.

Sự trở lại của nhóm cho thấy rằng các nạn nhân được xác định vào tháng 9 có thể chỉ là giai đoạn ban đầu của một chiến dịch rộng lớn hơn. Hoạt động trên các diễn đàn ngầm và các tiết lộ về nạn nhân mới trong tháng 10 sẽ quyết định liệu LockBit đã đạt được sự phục hồi hoạt động hoàn toàn hay sự tái nổi lên của nó tiếp tục phải đối mặt với những trở ngại.

Các tổ chức phải ưu tiên các hệ thống phòng thủ đa lớp. Chúng bao gồm bảo vệ vành đai mạng, phòng ngừa mối đe dọa điểm cuối và khả năng phát hiện nâng cao trên tất cả các loại cơ sở hạ tầng. Điều này rất quan trọng để đảm bảo bảo mật mạng toàn diện.

Khả năng đã được chứng minh của LockBit trong việc xâm phạm các nền tảng Windows, Linux và ảo hóa đòi hỏi các chiến lược bảo mật toàn diện. Các chiến lược này phải giải quyết toàn bộ ngăn xếp công nghệ để chống lại mã độc ransomware và các mối đe dọa liên quan.