Hack Alerta

LockBit 5.0: IP e domínio da infraestrutura expostos

Por Redação Hack Alerta Publicado em 07/12/2025 07:01 Riscos e Ameaças Tempo de leitura: 5 min

Pesquisador publicizou servidor e domínio ligados ao LockBit 5.0 — IP 205.185.116.233 e karma0.xyz — com portas abertas (incluindo RDP) e registros WHOIS inconsistentes. A exposição fornece IOCs para bloqueio e exige revisão de acesso remoto e telemetria por SOCs. Não há confirmação pública de vítimas.

LockBit 5.0: IP e domínio da infraestrutura expostos

Pesquisadores de segurança identificaram servidores e um domínio associados ao grupo de ransomware LockBit 5.0, expondo endereços IP, portas abertas e evidências operacionais que podem ser usados por defensores e analistas de inteligência.

Descoberta e escopo / O que mudou agora

O pesquisador Rakesh Krishnan publicou em rede social a identificação de um servidor ligado à infraestrutura do LockBit 5.0, apontando o IP 205.185.116.233 e o domínio karma0.xyz como responsáveis por hospedar um site de vazamentos e páginas relacionadas ao grupo. A publicação também indica associação do IP ao AS53667 (PONYNET), operado pela FranTech Solutions — rede frequentemente sinalizada por uso ilícito.

Consultas públicas feitas pela publicação Cyber Security News complementam a descoberta com detalhes de WHOIS e varreduras de portas no IP indicado.

Vetor e exploração / Mitigações

As varreduras divulgadas mostram múltiplas portas abertas no host 205.185.116.233, incluindo serviços comumente explorados:

  • 21/TCP — FTP
  • 80/TCP — Apache/PHP
  • 3389/TCP — RDP (identificado como WINDOWS-401V6QI)
  • 5000/TCP — HTTP
  • 5985/TCP — WinRM
  • 47001/TCP — HTTP (WinRM/Service-related)
  • 49666/TCP — File Server

Entre esses, o RDP (porta 3389) foi destacado como vetor de alto risco, pois permite acesso remoto ao sistema Windows e, se mal configurado ou protegido por credenciais fracas, pode facilitar escalada de acesso ou implantação de cargas maliciosas.

Mitigações práticas recomendadas, dadas as informações disponíveis:

  • Bloquear imediatamente o IP 205.185.116.233 e o domínio karma0.xyz em perímetro, proxies e sistemas de bloqueio de DNS/URL.
  • Monitorar tráfego para o AS53667 e para domínios recentemente registrados que reproduzam padrões semelhantes.
  • Reforçar controles de acesso a RDP/WinRM: aplicar VPN/Jump host, autenticação multifator, limitar origem por IP e validar logs de sessão.
  • Inspecionar servidores expostos e realizar varredura de integridade/IOC em ambientes que possam ter se comunicado com esse IP/domínio.

Impacto e alcance / Setores afetados

A divulgação trata da infraestrutura do próprio ator (servidor e domínio de vazamento) e não menciona vítimas específicas nem alcance de comprometimento em organizações. Ainda assim, a exposição é relevante para equipes de defesa e resposta por dois motivos: primeiro, fornece indicadores (IP, domínio, assinaturas de serviços) que podem ser bloqueados e monitorados; segundo, revela falhas de opsec do grupo que podem facilitar análise de campanhas futuras.

O material também cita que o LockBit 5.0, versão observada desde setembro de 2025, tem capacidades para Windows, Linux e ESXi, uso de extensões de arquivo aleatórias, evasão geográfica (pular sistemas russos) e aceleração de criptografia via XChaCha20 — atributos que aumentam o risco para ambientes corporativos com hosts Windows/ESXi expostos.

Limites das informações / O que falta saber

Informações públicas disponíveis são limitadas e algumas apresentaram divergências: o tweet inicial atribui registro do domínio a 2 de novembro de 2025, enquanto a verificação de WHOIS citada pela publicação aponta registro em 12 de abril de 2025. Não há, até o momento, evidência pública anexada que comprove operações de exfiltração ou comprometimento de terceiros vinculado diretamente a esse IP.

Também não há indicação na matéria de vítimas identificadas, número de hosts afetados ou amostras completas de malware acessíveis ao público para análise técnica aprofundada. Por isso, não é possível afirmar se a amostra MD5 mencionada no post refere-se a um artefato de ataque ativo ou a componente secundário.

Repercussão / Próximos passos

Analistas de inteligência e equipes de resposta devem:

  • Incluir 205.185.116.233 e karma0.xyz em listas de bloqueio e em regras de detecção, com cadência de revisão caso os indicadores mudem.
  • Compartilhar IOCs entre SOCs e com provedores de threat intelligence para correlação com telemetria interna.
  • Acompanhar alterações em WHOIS e em registros de DNS do domínio, dado que a publicação observou status "client transfer prohibited" e uso de nameservers Cloudflare.

Pesquisadores interessados podem monitorar canais do autor da descoberta (Rakesh Krishnan) e publicações de comunidade OSINT para atualizações. A publicação original recomenda bloquear o IP e o domínio imediatamente; essa ação é apropriada como medida imediata de contenção enquanto análises mais profundas são conduzidas.

Nota final

Os dados descritos foram extraídos da matéria publicada pelo veículo Cyber Security News e do relato público do pesquisador mencionado. Onde houver divergência de datas em registros públicos, o texto indica ambas as versões conforme relatadas. Não há, até o fechamento desta matéria, confirmação pública de vítimas ou da extensão completa de operações associadas a esse servidor.

Baseado em publicação original de Cyber Security News
Tags: #ransomware #lockbit #infraestrutura #opsec #ip #dominio #rdp #esxi #smokeloader
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar