近日，网络安全研究员 Rakesh Krishnan 曝光了勒索软件团伙LockBit 5.0的核心基础设施，包括关键服务器IP地址205.185.116.233及勒索泄露站点域名karma0.xyz，为全球防御者提供了重要对抗线索。

据悉，涉事服务器隶属于自治系统AS53667（由FranTech Solutions运营的PONYNET网络），该网络因频繁被非法活动滥用而臭名昭著。研究员发现，该服务器的DDoS保护页面明确标注“LOCKBITS.5.0”字样，直接证实其为该勒索团伙的运营节点。这一运营安全（OpSec）漏洞曝光之际，LockBit正凭借增强型恶意软件能力卷土重来。

Rakesh Krishnan 于2025年12月5日通过X平台（原推特）首次公开相关发现，指出域名karma0.xyz与LockBit 5.0活动存在直接关联，且注册时间较新。WHOIS记录显示，该域名注册于2025年4月12日，有效期至2026年4月，采用Cloudflare的鸢尾花（iris.ns.cloudflare.com）和汤姆（tom.ns.cloudflare.com）两台域名服务器，并通过Namecheap提供隐私保护服务，联系地址标注为冰岛雷克雅未克。目前该域名状态为“禁止客户转移”，推测团伙试图在监管审查压力下锁定控制权。

端口扫描结果显示，IP地址205.185.116.233开放多个端口，其中包含高风险的3389端口远程桌面协议（RDP），这一漏洞可能导致攻击者未经授权访问该Windows主机，为服务器遭破坏埋下隐患。

作为2025年9月前后涌现的勒索软件变种，LockBit 5.0具备跨平台攻击能力，支持Windows、Linux及ESXi系统，采用随机文件扩展名、基于地理位置的规避机制（跳过俄罗斯相关系统），并通过XChaCha20算法实现加密加速，攻击效率显著提升。

值得注意的是，尽管LockBit多次因运营安全疏漏遭打击，但其仍持续活跃，此次基础设施泄露再次暴露其防护短板。安全专家建议，防御者应立即封锁涉事IP及域名，阻断其攻击链路；研究人员可通过该节点监控团伙后续活动，为追踪溯源提供支撑。

资讯来源：cybersecuritynews

声明：本文来自看雪学苑，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。