أصدر الفاعلون الذين يقفون خلف برنامج الفدية LockBit نسخة جديدة وُصفت بأنها «أكثر خطورة بكثير» تحت اسم LockBit 5.0 تزامناً مع احتفالهم بمرور ست سنوات على نشاطهم. أظهر التحليل أن النسخة 5.0 تشترك في خصائص شفرة مع الإصدار 4.0 — مثل خوارزميات التجزئة نفسها وطرائق حلّ واجهات برمجة التطبيقات — ما يؤكد أنها تطور حقيقي في قاعدة الشيفرة الأصلية لا تقليد خارجي. هذا الأسلوب في الحفاظ على الوظائف الأساسية مع إضافة تقنيات تهرب يعكس استراتيجيتهم في التحسين التدريجي لمنصة الفدية.
تهريب وتحميل مُعقّد على بيئات Windows
أظهرت العينات أن الثنائي الخاص بنظام Windows يستخدم مستويات عالية من الإخفاء (obfuscation) والتعبئة (packing). يقوم بتحميل الحمولة التنفيذية عبر آلية انعكاس DLL (DLL reflection) ويطبّق تقنيات مضادة للتحليل مثل تصحيح أحداث تتبع النظام (ETW patching) وإنهاء خدمات الأمن العاملة على الجهاز، ما يجعل تحليل السلوك وتشخيص الحمولة أصعب بكثير.
امتداد إلى Linux وقدرات استهداف متقدمة
النسخة المكتشفة لنظام Linux تُحافظ على وظائف مشابهة مع تقديم خيارات سطر أوامر تسمح باستهداف مجلدات وأنواع ملفات محددة، ما يمنح المهاجمين قدرة دقيقة على اختيار الأهداف داخل الأنظمة الخادمة. هذه المرونة تزيد من فاعلية الهجوم وتقلّل من آثار التتبع العشوائي.
استهداف بيئات الافتراضية ESXi وتشفير البنى التحتية الافتراضية
أضاف الإصدار ESXi طابعاً خطيراً جديداً بقدرته على استهداف بيئات VMware الافتراضية، مصمّماً لتشفير بنى الآلات الافتراضية بأكملها في هجوم واحد شامل. مثل هذه القدرة تعني أن هجوماً واحداً قد يعطل مراكز بيانات كاملة أو خدمات سحابية صغيرة تُدار عبر خوادم افتراضية، مما يرفع كلفة الاستجابة والتعافي بشكل كبير.
