LockBit 5.0 anahtar altyapısı açığa çıktı, 205.185.116.233 IP adresi ortaya çıktı ve karma0.xyz etki alanı, fidye yazılımı grubunun en son sızıntı sitesini barındırıyor.
Yasadışı faaliyetler için sıklıkla kötüye kullanılan bir ağ olan AS53667 (FranTech Solutions tarafından işletilen PONYNET) altında barındırılan araştırmacı Rakesh Krishnan’a göre, sunucu, grubun operasyonlarındaki rolünü doğrulayan “LOCKBITS.5.0” markalı bir DDoS koruma sayfası görüntülüyor.
Bu operasyonel güvenlik açığı, LockBit’in gelişmiş kötü amaçlı yazılım yetenekleriyle yeniden dirildiği bir dönemde ortaya çıkıyor.
Krishnan, bulguları ilk olarak 5 Aralık 2025’te X (eski adıyla Twitter) aracılığıyla duyurdu ve alanın yakın zamanda kaydedildiğini ve LockBit 5.0 faaliyetleriyle doğrudan bağlarını belirtti.
WHOIS kayıtları, Cloudflare ad sunucularını (iris.ns.cloudflare.com ve tom.ns.cloudflare.com) ve iletişim konumu olarak Reykjavik, İzlanda’yı listeleyen Namecheap gizlilik koruması kullanılarak Nisan 2026’da sona erecek şekilde karma0.xyz’nin 12 Nisan 2025’te kaydedildiğini gösteriyor.
Alan adı durumu, müşteri aktarımının yasak olduğunu gösteriyor ve bu da inceleme sırasında kontrolü kilitleme çabalarını akla getiriyor.
Taramalar, savunmasız uzaktan erişim de dahil olmak üzere 205.185.116.233’te birden fazla açık bağlantı noktası ortaya çıkararak sunucuyu olası kesintilere maruz bırakıyor.
| Liman | Protokol | Bileşen |
|---|---|---|
| 21 | TCP | FTP Sunucusu |
| 80 | TCP | Apache/2.4.58 (Win64) OpenSSL/3.1.3 PHP/8.0.30 G7gGBXkXcAAcgxa.jpg |
| 3389 | TCP | RDP (WINDOWS-401V6QI) |
| 5000 | TCP | HTTP |
| 5985 | TCP | WinRM |
| 47001 | TCP | HTTP |
| 49666 | TCP | Dosya Sunucusu |
3389 numaralı bağlantı noktasındaki RDP, yüksek riskli bir vektör olarak öne çıkıyor ve potansiyel olarak Windows ana bilgisayarına yetkisiz erişime izin veriyor.
Eylül 2025 civarında ortaya çıkan LockBit 5.0, Windows, Linux ve ESXi’yi destekliyor, rastgele dosya uzantıları, coğrafi konum tabanlı kaçınma (Rus sistemlerini atlama) ve XChaCha20 aracılığıyla hızlandırılmış şifreleme sunuyor.
Bu teşhir, grup için devam eden, birçok kez kesintiye uğrayan ama yine de ısrarcı olan Opsec başarısızlıklarını vurguluyor. Savunucuların IP’yi ve alanı derhal engellemesi gerekir; araştırmacılar daha fazla sızıntı olup olmadığını izleyebilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
