كشفت تقارير أمنية حديثة عن ظهور نسخة جديدة وخطيرة من برمجية “LockBit” الخبيثة، تزايد التركيز على استهداف أنظمة متعددة. تُعرف هذه النسخة باسم LockBit 5.0، والتي تم الإعلان عن إطلاقها في سبتمبر 2025، لتشكل تحديثًا كبيرًا لإحدى أبرز عائلات برمجيات الفدية النشطة في السنوات الأخيرة.
تتميز هذه النسخة بقدرتها على العمل على أنظمة تشغيل متنوعة تشمل ويندوز ولينكس وESXi، مما يجعلها تهديدًا متعدد الاستخدامات قادرًا على مهاجمة بيئات البنية التحتية المختلفة.
تعمل هذه البرمجية الخبيثة بنموذج “برمجيات الفدية كخدمة” (Ransomware-as-a-Service)، وتعتمد على مخطط الابتزاز المزدوج، حيث تقوم بتشفير الملفات وسرقة البيانات في وقت واحد للضغط على الضحايا ودفع الفدية.
تستهدف البرمجية بشكل أساسي قطاع الأعمال في الولايات المتحدة، حيث تمثل الشركات الخاصة حوالي 67% من الضحايا المسجلين.
تشمل القطاعات الأخرى المتأثرة التصنيع، والرعاية الصحية، والتعليم، والخدمات المالية، والوكالات الحكومية.
منذ ديسمبر 2025، وثق موقع تسريب بيانات LockBit نحو 60 حالة لمواقع ضحايا، مما يوضح التأثير الواسع لهذه الحملة.
ما يجعل هذه النسخة مقلقة بشكل خاص هو قدرتها المعلنة على العمل على جميع إصدارات Proxmox، وهي منصة افتراضية مفتوحة المصدر يتبناها بشكل متزايد من قبل المؤسسات كبديل للمنصات التجارية.
حدد محللو Acronis أن LockBit 5.0 تشترك في أوجه تشابه مع نسختها السابقة، الإصدار 4، لكنها تقدم تحسينات في قدرات التهرب من الدفاعات وسرعات تشفير أعلى.
يستخدم الإصدار الخاص بويندوز تقنيات متطورة جدًا لتجنب التحليل، بما في ذلك آليات التغليف، وإلغاء ربط DLL، وحقن العمليات، وتعديل تتبع الأحداث لنظام ويندوز.
بالإضافة إلى ذلك، تقوم البرمجية الخبيثة بمسح جميع سجلات النظام المتاحة لإزالة أدلة الطب الشرعي. بينما لا تستخدم إصدارات لينكس وESXi آليات التغليف، إلا أنها تقوم بتشفير معظم سلاسلها لتجنب الكشف.
تستخدم جميع إصدارات المنصات الثلاث خوارزميات تشفير متطابقة، تجمع بين XChaCha20 للتشفير المتناظر وCurve25519 للتشفير غير المتناظر. يحصل كل ملف مشفر على امتداد عشوائي مكون من 16 حرفًا، مما يجعل التعرف عليه أكثر صعوبة.
تقوم برمجية الفدية بإنشاء خيوط تشفير متعددة بناءً على عدد معالجات النظام، مما يضمن تشفيرًا سريعًا للملفات عبر البيئات المصابة.
آليات تهرب واستمرارية متقدمة لـ LockBit 5.0
يُظهر إصدار ويندوز تكتيكات تهرب متطورة بشكل خاص مصممة لتجنب برامج الأمان أدوات التحليل.
تستخدم البرمجية الخبيثة تقنية تشويش مختلطة (Mixed Boolean-Arithmetic) ملفوفة بإلتفاف يعتمد على تجزئة عنوان العودة لإخفاء وظيفتها الحقيقية.
تجري عملية فحص جغرافي لتجنب إصابة الأنظمة في دول ما بعد الاتحاد السوفيتي، وهي سمة شائعة بين عائلات البرمجيات الخبيثة ذات الأصل الروسي. قبل بدء التشفير، تتحقق LockBit من إعدادات لغة النظام وتقارنها بمعرفات اللغة الروسية.
تستخدم البرمجية الخبيثة تقنية “Process Hollowing” عن طريق حقن نفسها في الأداة الشرعية defrag.exe في ويندوز، مما يسمح لها بالعمل تحت ستار عملية نظام موثوقة.
بعد الانتهاء من عمليات التشفير، تقوم LockBit بتعديل دالة EtwEventWrite عن طريق استبدال بايتها الأولى بتعليمات استدعاء، مما يعطل فعليًا مراقبة Event Tracing لنظام ويندوز.
ثم تقوم بمسح منهجي لجميع سجلات الأحداث باستخدام دالة EvtClearLog، مما يزيل آثار أنشطتها.
كشف تحليل البنية التحتية أن موقع تسريب بيانات LockBit كان مستضافًا على عنوان IP كان مرتبطًا سابقًا بعمليات برمجية خبيثة من نوع SmokeLoader.
يشير هذا الارتباط إلى احتمال مشاركة البنية التحتية أو التعاون بين مجموعات إجرامية سيبرانية مختلفة، وهي ممارسة شائعة في الأسواق السرية.
يجب على المؤسسات تطبيق ضوابط أمنية متعددة الطبقات تشمل النسخ الاحتياطي المنتظم دون اتصال بالإنترنت، وتقسيم الشبكة، وحلول اكتشاف التهديدات والاستجابة لنقاط النهاية، وإدارة التصحيحات في الوقت المناسب.
يبقى تدريب الوعي الأمني للموظفين أمرًا بالغ الأهمية لمنع الوصول الأولي عبر حملات التصيد الاحتيالي. يجب على مسؤولي النظام مراقبة السلوك المشبوه للعمليات، ونشاط تشفير الملفات غير المتوقع، ومحاولات تعطيل آليات تسجيل الأمان.