Pesquisadores de segurança descobriram detalhes críticos da infraestrutura para o notório Ransomware LockBit 5.0 operação, incluindo o endereço IP 205.185.116.233 e o domínio karma0.xyz, que hospeda o último site de vazamento do grupo.
A descoberta representa uma falha significativa de segurança operacional para a organização cibercriminosa.
O pesquisador de segurança cibernética Rakesh Krishnan divulgou as descobertas pela primeira vez em 5 de dezembro de 2025, identificando o servidor hospedado em AS53667 (PONYNET, operado pela FranTech Solutions), uma rede frequentemente explorada para atividades ilícitas.
O servidor exibe uma página de proteção DDoS com a marca “LOCKBITS.5.0”, confirmando seu papel direto nas operações do grupo de ransomware.
Os registros WHOIS indicam que karma0.xyz foi registrado em 12 de abril de 2025, com data de validade em abril de 2026.
O domínio utiliza servidores de nomes Cloudflare e proteção de privacidade Namecheap, listando Reykjavik, Islândia, como local de contato.
O status do domínio mostra a transferência de clientes proibida, sugerindo tentativas de manter o controle em meio a um maior escrutínio.
Vulnerabilidades críticas expostas
As verificações de segurança revelaram várias portas abertas no servidor exposto, criando riscos de segurança significativos.
A porta 21 executa um servidor FTP, enquanto a porta 80 opera Apache/2.4.58 (Win64) com OpenSSL/3.1.3 e PHP/8.0.30.
A porta 3389 expõe Protocolo de área de trabalho remota (RDP) em um host Windows denominado WINDOWS-401V6QI, apresentando um vetor de alto risco para acesso não autorizado.
Portas abertas adicionais incluem 5000 e 5985 para HTTP e WinRM, respectivamente; porta 47001 para HTTP; e porta 49666 para um servidor de arquivos.
O LockBit 5.0 surgiu por volta de setembro de 2025, com recursos aprimorados de malware que oferecem suporte a sistemas Windows, Linux e ESXi.
O ransomware apresenta extensões de arquivo aleatórias, evasão baseada em geolocalização que ignora os sistemas russos e criptografia acelerada usando algoritmos XChaCha20.
De acordo com Notícias sobre segurança cibernéticaos pesquisadores observaram que o grupo incorpora o Smokeloader em suas campanhas de ataque.
Os defensores da segurança devem bloquear imediatamente o endereço IP e o domínio expostos. As organizações podem monitorar esses indicadores em busca de possíveis tentativas de comprometimento.
Esta exposição destaca falhas persistentes de segurança operacional para LockBit, apesar de múltiplas interrupções na aplicação da lei.
O grupo continua demonstrando resiliência enquanto mantém operações ativas de ransomware visando organizações em todo o mundo.
Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.