Kelompok ransomware LockBit kembali dengan varian baru, LockBit 5.0, yang menargetkan organisasi di seluruh dunia setelah gangguan dari Operasi Cronos pada awal 2024. Pada September 2025, peneliti mengidentifikasi selusin korban di Eropa Barat, Amerika, dan Asia, dengan versi baru terlibat dalam setengah serangan. Check Point Research mengonfirmasi upaya pemerasan aktif menggunakan ancaman multi-platform ini.
Kembalinya LockBit dimulai secara halus tetapi mendapatkan momentum pada 2025. Pada Mei 2025, administrator kelompok, LockBitSupp, memposting di forum RAMP: “Kami selalu bangkit setelah diretas.” Pada Agustus, ia mengumumkan bahwa kelompok tersebut “kembali bekerja.” Kembalinya resmi terjadi pada awal September 2025, ketika LockBitSupp menyatakan kebangkitan operasi di forum bawah tanah dan mulai merekrut afiliasi baru.
Kebangkitan ini mengikuti Operasi Cronos, upaya penegak hukum pada awal 2024 yang mengganggu kelompok tersebut. Meskipun dihancurkan, infrastruktur matang LockBit, reputasi, dan jaringan afiliasi memungkinkan pemulihan cepat. Varian LockBit 5.0 baru, yang disebut secara internal “ChuongDong,” mendukung sistem Windows, Linux, dan ESXi, memungkinkan serangan pada lingkungan hibrida dan virtual. Sekitar 80% serangan yang diamati pada September menargetkan Windows, sementara 20% fokus pada ESXi dan Linux.
Peningkatan teknis di LockBit 5.0 mencakup mekanisme anti-analisis yang lebih kuat untuk menghambat forensik, enkripsi yang dioptimalkan untuk mempersingkat waktu respons pembela, dan ekstensi file acak 16 karakter untuk penghindaran yang lebih baik. Panel kontrol afiliasi sekarang menawarkan manajemen yang ditingkatkan dengan kredensial individu. Afiliasi baru harus menyetor sekitar $500 dalam Bitcoin untuk mengakses alat. Catatan tebusan menentukan LockBit 5.0 dan menyediakan tautan negosiasi yang dipersonalisasi dengan tenggat waktu 30 hari sebelum publikasi data.
Selusin korban September menandai awal dari apa yang mungkin menjadi kampanye yang lebih besar, karena aktivitas bawah tanah berlanjut hingga Oktober. Hal ini menyoroti ketahanan model ransomware-as-a-service terhadap tindakan penegakan hukum. Organisasi menghadapi kebutuhan akan pertahanan yang mencakup perimeter jaringan, endpoint, dan deteksi multi-platform untuk melawan ancaman semacam itu.