LockBit ransomwaregruppen har återvänt med en ny variant, LockBit 5.0, som riktar sig mot organisationer världen över efter störningar från Operation Cronos i början av 2024. I september 2025 identifierade forskare ett dussin offer i Västeuropa, Amerika och Asien, med den nya versionen inblandad i hälften av attackerna. Check Point Research bekräftar aktiva utpressningsinsatser med detta multi-plattformshot.
LockBits comeback började subtilt men fick fart under 2025. I maj 2025 postade gruppens administratör, LockBitSupp, på RAMP-forumet: “Vi reser oss alltid efter att ha hackats.” I augusti meddelade han att gruppen “gick tillbaka till jobbet.” Den officiella återkomsten kom i början av september 2025, när LockBitSupp förklarade operationens revival på underjordiska forum och började rekrytera nya affiliates.
Denna återkomst följde Operation Cronos, en insats från rättsväsendet i början av 2024 som störde gruppen. Trots nedtagningen tillät LockBits mogna infrastruktur, rykte och affiliate-nätverk en snabb återhämtning. Den nya LockBit 5.0-varianten, internt kallad “ChuongDong”, stödjer Windows, Linux och ESXi-system, vilket möjliggör attacker mot hybrida och virtualiserade miljöer. Cirka 80 % av de observerade attackerna i september riktades mot Windows, medan 20 % fokuserade på ESXi och Linux.
Tekniska uppgraderingar i LockBit 5.0 inkluderar starkare anti-analysmekanismer för att hindra forensik, optimerad kryptering för att förkorta svarstider för försvarare och slumpmässiga 16-teckens filändelser för bättre undvikande. Affiliate-kontrollpanelen erbjuder nu förbättrad hantering med individuella uppgifter. Nya affiliates måste sätta in cirka 500 dollar i Bitcoin för att få tillgång till verktygen. Lösennoter specificerar LockBit 5.0 och ger personliga förhandlingslänkar med en 30-dagars deadline innan datat publiceras.
September månads dussin offer markerar starten på vad som kan vara en större kampanj, eftersom underjordisk aktivitet fortsätter in i oktober. Detta belyser motståndskraften hos ransomware-as-a-service-modeller mot verkställande åtgärder. Organisationer står inför behovet av försvar som täcker nätverksperimeter, endpoints och multi-plattformdetektering för att motverka sådana hot.