LockBit 5.0インフラの露呈

悪名高いランサムウェア「LockBit 5.0」の運用に利用されている重要なインフラの詳細がセキュリティ研究者によって発見されました。これには、IPアドレス 205.185.116.233と、グループの最新のリークサイトをホストしているドメイン karma0.xyzが含まれています。この発見は、サイバー犯罪組織にとって重大な運用セキュリティ上の失敗を意味します。

セキュリティ研究者のRakesh Krishnan氏が2025年12月5日にこの情報を最初に公開し、AS53667（PONYNET、FranTech Solutionsによって運営）の下でホストされているサーバーを特定しました。このネットワークは、違法な活動に頻繁に悪用されています。

サーバー詳細とドメイン情報

露呈したサーバーは「LOCKBITS.5.0」とブランド化されたDDoS保護ページを表示しており、ランサムウェアグループの運用における直接的な役割を裏付けています。WHOISレコードによると、karma0.xyzは2025年4月12日に登録され、2026年4月に有効期限が切れる予定です。このドメインはCloudflareのネームサーバーとNamecheapのプライバシー保護を利用しており、連絡先はアイスランドのレイキャビクと記載されています。ドメインの状態は「client transfer prohibited」となっており、厳重な監視の中で管理を維持しようとする試みがうかがえます。

露呈した複数の脆弱性

セキュリティスキャンにより、露呈したサーバー上で複数のオープンポートが確認され、重大なセキュリティリスクが浮上しました。

• ポート21ではFTPサーバーが稼働
• ポート80ではApache/2.4.58 (Win64)とOpenSSL/3.1.3、PHP/8.0.30が稼働
• ポート3389ではWindowsホスト「WINDOWS-401V6QI」上でリモートデスクトッププロトコル（RDP）が露呈しており、不正アクセスへの高リスクな経路となっています。

その他、ポート5000および5985（それぞれHTTPおよびWinRM）、ポート47001（HTTP）、ポート49666（ファイルサーバー）もオープンしていました。

LockBit 5.0の高度な機能

LockBit 5.0は2025年9月頃に出現し、Windows、Linux、ESXiシステムをサポートする強化されたマルウェア機能を備えています。このランサムウェアは、ランダムなファイル拡張子、ロシアのシステムをスキップする地理位置情報に基づいた回避機能、およびXChaCha20アルゴリズムを使用した高速な暗号化を特徴としています。セキュリティ研究者によると、このグループは攻撃キャンペーンにSmokeloaderを組み込んでいるとのことです。

対策と今後の展望

セキュリティ担当者は、露呈したIPアドレスとドメインを直ちにブロックするべきです。組織はこれらの指標を監視し、潜在的な侵害の試みに備える必要があります。今回の露呈は、複数の法執行機関による妨害にもかかわらず、LockBitの運用セキュリティにおける継続的な失敗を浮き彫りにしています。このグループは、世界中の組織を標的としたランサムウェア攻撃を活発に継続しながらも、その回復力を示し続けています。

---

元記事: https://gbhackers.com/lockbit-5-0-infrastructure-exposed/