LockBit ransomware đã duy trì vị thế là một trong những nhóm ransomware-as-a-service (RaaS) thống trị nhất thế giới kể từ khi xuất hiện dưới dạng ABCD ransomware vào năm 2019 và chính thức ra mắt với tên LockBit vào năm 2020.

Bất chấp những trở ngại lớn như các cuộc triệt phá của cơ quan thực thi pháp luật quốc tế vào đầu năm 2024 và vụ rò rỉ bảng điều khiển của các đối tác (affiliate panel) gây thiệt hại vào tháng 5 năm 2025, nhóm này vẫn tiếp tục cập nhật cơ sở mã, mở rộng hoạt động của các đối tác và triển khai các cuộc tấn công quy mô lớn nhắm vào các tổ chức trên nhiều ngành công nghiệp.

Phân tích LockBit ransomware 5.0: Sự tiến hóa và chiến thuật mới

Flashpoint đã theo dõi LockBit ransomware qua nhiều giai đoạn phát triển, từ các bộ mã hóa .abcd ban đầu đến LockBit 3.0 nhanh hơn, bí mật hơn và LockBit Green lấy cảm hứng từ Conti. Với phiên bản 5.0, nhóm đã giới thiệu một mô hình triển khai ransomware hai giai đoạn được tinh chỉnh, nhằm tối đa hóa khả năng lẩn tránh, tính mô-đun và tác động phá hoại.

Phân tích này làm rõ cách LockBit 5.0 hoạt động, những thay đổi đã diễn ra và lý do tại sao các chuyên gia bảo mật nên coi sự phát triển mới nhất này là một tín hiệu rõ ràng. Điều đó cho thấy ngay cả sau các cuộc triệt phá và rò rỉ, các nhóm ransomware vẫn đổi mới nhanh hơn chứ không hề dừng lại.

Những thay đổi kỹ thuật cốt lõi trong LockBit 5.0

Trend Micro đã lần đầu tiên phát hiện sự xuất hiện của LockBit 5.0 vào cuối tháng 9 năm 2025. Phân tích của Flashpoint xác nhận rằng nhóm này đang xây dựng dựa trên cơ sở mã v4.0 hiện có thay vì bắt đầu lại từ đầu.

• Nhiều chức năng cốt lõi vẫn được giữ nguyên, bao gồm các phương pháp mã hóa tệp quen thuộc, giới hạn thực thi theo địa lý và thậm chí cả một ghi chú đòi tiền chuộc được tái sử dụng vẫn còn lỗi chính tả từ “information”.
• Tuy nhiên, LockBit 5.0 giới thiệu một số khả năng mới hoặc được nâng cấp đáng kể.

Kiến trúc hai giai đoạn và các tính năng chống phân tích

Kiến trúc hai giai đoạn mô-đun tách biệt bộ tải (loader) khỏi payload chính. Các tính năng chống phân tích mở rộng bao gồm làm xáo trộn luồng điều khiển (control-flow obfuscation) và băm API (API hashing). Mã độc sử dụng kỹ thuật EDR bypass mạnh mẽ thông qua process hollowing, sử dụng các thư viện không bị hook (unhooked libraries), và vá ETW (Event Tracing for Windows).

Nó cũng hỗ trợ các chế độ thực thi ẩn (stealth execution modes) không hiển thị phần mở rộng tệp hoặc ghi chú đòi tiền chuộc. Những cập nhật này cho thấy các nhà phát triển của LockBit đang tập trung vào việc duy trì hoạt động dưới áp lực, liên tục cải tiến các biện pháp phòng thủ kỹ thuật trong khi vẫn giữ lại các công cụ và mô hình đối tác quen thuộc của nhóm.

Cơ chế hoạt động của mã độc ransomware LockBit 5.0

Điểm mấu chốt của LockBit 5.0 là mô hình thực thi hai giai đoạn mới của nó. Giai đoạn một hoạt động như một bộ tải được xây dựng để lẩn trốn và duy trì hoạt động, trong khi giai đoạn hai thực thi payload ransomware cốt lõi, được thiết kế để triển khai linh hoạt, phá hoại có mục tiêu và lẩn tránh nhiều lớp.

Giai đoạn một: Bộ tải ẩn và khả năng EDR Evasion

Các tính năng chính của bộ tải ở giai đoạn một bao gồm làm xáo trộn luồng điều khiển, trong đó mã tính toán các điểm nhảy (jump destinations) một cách động. Điều này khiến việc dịch ngược (disassembly) và phân tích đảo ngược (reverse engineering) truyền thống trở nên khó khăn hơn.

• Phân giải API động: Mã độc tránh sử dụng các tên API được mã hóa cứng và thay vào đó phân giải các lệnh gọi hàm tại thời gian chạy bằng một thuật toán băm tùy chỉnh.
• Unhooking thư viện: Kỹ thuật này được sử dụng để tải lại các bản sao sạch của NTDLL và Kernel32 từ đĩa, ghi đè lên bất kỳ hook nào được đặt bởi các công cụ bảo mật trong bộ nhớ.
• Tạo trampoline shellcode tùy chỉnh: Bộ tải xây dựng các trampoline shellcode tùy chỉnh, chuyển hướng thực thi đến các lệnh gọi API đã được phân giải, vượt qua các phương pháp phát hiện tiêu chuẩn.
• Process Hollowing: Sau đó, bộ tải tạo một phiên bản tạm dừng của defrag.exe và tiêm payload đã giải mã vào đó bằng kỹ thuật process hollowing. Các nhà phân tích của Flashpoint đã xác nhận rằng payload giai đoạn hai được ghi vào bộ nhớ bằng ZwWriteProcessMemory, con trỏ lệnh được cập nhật và quá trình tiếp tục thực thi mà không kích hoạt các cảnh báo bảo mật mặc định. Phân tích chi tiết về LockBit 5.0 của Flashpoint cung cấp thêm thông tin về các cơ chế này.

Giai đoạn hai: Payload ransomware có tính phá hoại

Giai đoạn hai là payload mã độc ransomware chính. Flashpoint đã quan sát thấy binary này được gắn nhãn “ChuongDoung Locker v1.01”, có lẽ là để tưởng nhớ nhà nghiên cứu Chuong Dong. Nó chứa cả các tính năng quen thuộc của LockBit và các tùy chọn phá hoại mới.

Chế độ hoạt động và khả năng mã hóa

Payload hỗ trợ nhiều tùy chọn dòng lệnh và có thể chạy với hoặc không có tác động hiển thị. Ở chế độ “destruction-only”, nó mã hóa các tệp một cách âm thầm mà không thay đổi phần mở rộng hoặc hiển thị ghi chú đòi tiền chuộc. Đây là một chiến thuật có thể được sử dụng cho các chiến dịch trả đũa hoặc chỉ đơn thuần là gây gián đoạn.

• Các hành vi bổ sung: Bao gồm mã hóa các ổ đĩa cục bộ, các thư mục cụ thể và các chia sẻ mạng, cũng như mã hóa đa luồng sử dụng khóa Curve25519 và thuật toán mã hóa XChaCha20.
• Unhooking thư viện lặp lại: Xảy ra cho mọi DLL được tải.
• Vô hiệu hóa dịch vụ hệ thống: Các dịch vụ hệ thống như VSS (Volume Shadow Copy Service), WSearch và Edgeupdate bị vô hiệu hóa.
• Loại trừ tệp và thư mục: Để bảo toàn chức năng của hệ điều hành và tránh bị phát hiện.
• Ghi chú đòi tiền chuộc: Văn bản ghi chú đòi tiền chuộc được giải mã bằng RC4 và được ghi dưới dạng ReadMeForDecrypt.txt.

Giới hạn thực thi địa lý

Trước khi thực thi, payload kiểm tra máy tính nạn nhân để đảm bảo rằng nó không nằm ở Nga hoặc các địa điểm đồng minh của Nga. Điều đáng chú ý là nó cũng tránh thực thi trên các hệ thống đặt tại Philippines, một hành vi mà Flashpoint vẫn đang tiếp tục điều tra.

Ứng phó với LockBit 5.0 và các mối đe dọa ransomware hiện đại

LockBit 5.0 phản ánh một sự thay đổi lớn hơn trong phát triển ransomware: sự chuyên nghiệp hóa dưới áp lực. Bất chấp các lệnh trừng phạt, rò rỉ thông tin và các vụ bắt giữ, nhóm này vẫn tiếp tục hoạt động trên quy mô lớn. Để chống lại các tấn công mạng như vậy, các đội bảo mật cần thực hiện nhiều biện pháp chủ động.

Chiến lược phòng thủ và chuẩn bị ứng phó

• Giám sát tình báo mối đe dọa: Các nhóm bảo mật nên theo dõi các diễn đàn bất hợp pháp và các trang web rò rỉ dữ liệu để có tín hiệu cảnh báo sớm.
• Ưu tiên vá lỗi: Đối chiếu thông tin tình báo về lỗ hổng với các sở thích của nhóm ransomware để ưu tiên vá lỗi.
• Phát hiện dựa trên hành vi: Sử dụng phát hiện dựa trên hành vi để gắn cờ các hành động lẩn tránh như vá ETW hoặc unhooking thư viện.
• Kế hoạch ứng phó: Chuẩn bị các kế hoạch ứng phó được tùy chỉnh với các giao thức đàm phán, sao lưu ngoại tuyến và hướng dẫn pháp lý được chuẩn bị sẵn trước khi một cuộc tấn công xảy ra.

Việc phát hành LockBit 5.0 diễn ra sau vụ rò rỉ dữ liệu nội bộ của LockBit vào tháng 5 năm 2025, tiết lộ các tài khoản đối tác, các bản xây dựng ransomware và các cuộc đàm phán đòi tiền chuộc giữa nạn nhân và đối tác.

Đối với các chuyên gia bảo mật, điều này củng cố tầm quan trọng của việc theo dõi các nhóm ransomware không chỉ bằng các chỉ số thỏa hiệp (IOC) mà còn bằng các công cụ (tooling), chiến thuật (tactics), kỹ thuật (techniques) và quy trình (procedures) của chúng.

LockBit 5.0 là bằng chứng mới nhất cho thấy ransomware không biến mất mà đang thích nghi. Cách tốt nhất để dẫn đầu là kết hợp thông tin tình báo từ nguồn chính, phân tích hành vi và sự sẵn sàng phối hợp.