عادت مجموعة الـ LockBit للبرمجيات الخبيثة للابتزاز بنسخة جديدة، LockBit 5.0، تستهدف المنظمات في جميع أنحاء العالم بعد الاضطرابات الناتجة عن عملية كرونوس في أوائل 2024. في سبتمبر 2025، حدد الباحثون عشرات الضحايا عبر أوروبا الغربية، الأمريكتين، وآسيا، مع مشاركة النسخة الجديدة في نصف الهجمات. تؤكد أبحاث Check Point جهود الابتزاز النشطة باستخدام هذا التهديد متعدد المنصات.
بدأ عودة LockBit بشكل خفي لكنه اكتسب زخماً في 2025. في مايو 2025، نشر مدير المجموعة، LockBitSupp، في منتدى RAMP: “نحن دائماً ننهض بعد أن يتم اختراقنا”. بحلول أغسطس، أعلن أن المجموعة “تعود إلى العمل”. جاء العودة الرسمية في بداية سبتمبر 2025، عندما أعلن LockBitSupp إحياء العملية في المنتديات السرية وبدأ في تجنيد شركاء جدد.
تبع هذا الانتعاش عملية كرونوس، وهي جهد من قوات الإنفاذ في أوائل 2024 أدى إلى تعطيل المجموعة. رغم الإسقاط، سمحت البنية التحتية الناضجة لـ LockBit وسمعته وشبكة الشركاء بتعافٍ سريع. النسخة الجديدة LockBit 5.0، التي تُدعى داخلياً “ChuongDong”، تدعم أنظمة Windows وLinux وESXi، مما يمكن الهجمات على البيئات الهجينة والافتراضية. حوالي 80% من الهجمات المرصودة في سبتمبر استهدفت Windows، بينما ركز 20% على ESXi وLinux.
تشمل الترقيات التقنية في LockBit 5.0 آليات مضادة للتحليل أقوى لعرقلة الطب الشرعي، تشفير محسن لتقصير أوقات استجابة المدافعين، وامتدادات ملفات عشوائية بـ16 حرفاً لتجنب أفضل. يقدم لوحة التحكم في الشركاء الآن إدارة محسنة ببيانات اعتماد فردية. يجب على الشركاء الجدد إيداع حوالي 500 دولار في Bitcoin للوصول إلى الأدوات. تحدد مذكرات الابتزاز LockBit 5.0 وتوفر روابط تفاوض شخصية مع مهلة 30 يوماً قبل نشر البيانات.
عشرات الضحايا في سبتمبر يمثلون بداية ما قد يكون حملة أكبر، حيث تستمر النشاط السري في أكتوبر. يبرز هذا مرونة نماذج البرمجيات الخبيثة للابتزاز كخدمة ضد إجراءات الإنفاذ. تواجه المنظمات الحاجة إلى دفاعات تغطي محيطات الشبكة والنقاط النهائية والكشف متعدد المنصات لمواجهة مثل هذه التهديدات.