勒索巨头LockBit 5.0基础设施遭曝光：服务器IP与域名泄露

关键基础设施暴露

LockBit 5.0勒索软件团伙的关键基础设施遭曝光，其最新数据泄露网站托管于IP地址205.185.116.233及域名karma0.xyz。研究人员Rakesh Krishnan发现，该服务器位于AS53667网络（由FranTech Solutions运营的PONYNET，该网络常被用于非法活动），服务器显示的DDoS防护页面标注有"LOCKBITS.5.0"标识，证实了其与LockBit团伙的关联。

运营安全漏洞

这一运营安全漏洞出现在LockBit团伙增强恶意软件功能并重新活跃之际。Krishnan于2025年12月5日通过X平台（原Twitter）首次公开这一发现，指出该域名近期注册且与LockBit 5.0活动直接相关。

#LOCKBIT 5.0服务器：IP与域名

IP：205.185.116.233 #AS53667

域名：karma0[.]xyz

注册时间：2025年11月2日

攻击中使用了#Smokeloader

MD5：e818a9afd55693d556a47002a7b7ef31#Lockbit5 #勒索软件 #安全 #情报 #OSINT #数据泄露 #TOR

域名注册详情

WHOIS记录显示，karma0.xyz域名注册于2025年4月12日，有效期至2026年4月，使用Cloudflare域名服务器（iris.ns.cloudflare.com和tom.ns.cloudflare.com），并通过Namecheap隐私保护服务将联系人地址设为冰岛雷克雅未克。域名状态显示"禁止客户转移"，表明运营者试图在审查期间锁定控制权。

服务器端口风险

扫描显示205.185.116.233服务器开放多个端口，包括存在漏洞的远程访问端口，使服务器面临潜在破坏风险：

其中3389端口的RDP服务尤为危险，可能导致未经授权访问Windows主机。

LockBit 5.0技术特征

LockBit 5.0于2025年9月左右出现，支持Windows、Linux和ESXi系统，具有随机文件扩展名、基于地理位置规避（跳过俄罗斯系统）以及通过XChaCha20加速加密等特征。

此次曝光再次凸显了该团伙在运营安全方面的持续失败。尽管多次遭到打击，该团伙仍持续活跃。安全防御者应立即封锁相关IP和域名，研究人员可继续监控可能的进一步泄露。