数据窃取，更在运营上模拟了合法科技巨头：他们设立了“漏洞赏金计划”，悬赏邀请研究人员找自己代码的 Bug，以此彰显技术自信；他们甚至建立了分层级的“客户服务”体系，试图给受害者一种“只要付钱就一定能恢复数据”的虚假诚信感。情报画像显示，该组织的最高领导者“LockBitSupp”具有极强的双重人格特征——一方面表现出极度的傲慢、独裁和对技术的病态控制欲（被称为“BOSS”），另一方面又有一个相对温和的分身负责在 Tox 平台上处理日常沟通。然而，这种看似坚不可摧的帝国实则建立在沙以此之上，其内部早已因为后台带宽不足导致无法真实发布被盗数据，以及对附属成员收取高额入场费（约 777 美元比特币）而积怨已久。版本名称推出年份主要特点/变化初始版本2019加密文件后添加“.abcd”扩展名Lockbit 2.02021引入“StealBit”恶意软件，自动化窃取数据过程；速度快，加密效率高；针对Linux主机，特别是VMware ESXi服务器，发布了Linux-ESXi Locker 1.0版本。Lockbit 3.02022在经过两个月的beta测试后于6月下旬发布；主要特点包括漏洞赏金计划。Lockbit-NG-Dev2024当执法部门在2024年2月打击Lockbit服务器时，发现该版本正处于高级开发阶段；使用.NET框架编写，与早期使用的C和C++编程语言不同；Lockbit在2024年12月宣布了4.0版本，计划于2025年2月发布。SuperBlack20252025年3月，网络安全研究人员报告了一种名为SuperBlack的新勒索软件，该软件以Lockbit 3.0（也称为Lockbit Black）为基础；该变种删除了Lockbit品牌标识，更改了赎金票据，并添加了自定义数据泄露模块。也被称为LockBit 4.0
2.2 技术军火库：从 C++ 到 .NET 的疯狂迭代与漏洞武器化

LockBit之所以能长期霸榜，关键在于其技术栈的敏捷迭代与无孔不入的攻击战术。在软件形态上，他们经历了彻底的蜕变：早期的加密器基于 C/C++ 编写，追求极致的加密速度；而到了 2025 年发布的 LockBit 4.0（亦称 SuperBlack），核心团队为了对抗安全厂商的特征检测，将代码库全面转向 .NET 框架，并引入了复杂的代码混淆和反沙箱机制。为了适应企业级环境，他们特别针对 VMware ESXi 虚拟化平台开发了 Linux 版本的加密器（LockBit Linux-ESXi Locker），这意味着他们能通过一条指令瘫痪企业最核心的服务器集群。
在攻击链条（Kill Chain）上，LockBit 展现了“全漏洞利用”的特征。情报显示，从 2024 年底到 2025 年初，他们的附属成员密集利用了 Fortinet 防火墙的认证绕过漏洞（CVE-2024-55591、CVE-2025-24472）作为初始突破口，同时结合 Windows Confluence 的提权漏洞（CVE-2023-22527）深入内网。一旦进入系统，他们便熟练运用“就地取材”（LOLBAS）策略，滥用 PowerShell、PsExec 等合法工具，配合 Cobalt Strike 和 Mimikatz 进行横向移动和凭证窃取。为了确保持久化，他们会通过修改注册表禁用 Windows Defender，利用“自带易受攻击驱动程序”（BYOVD）技术强行杀灭 EDR 进程，并在系统中留下 /tmp/lockbit.log 等进度文件。这种高度工业化、自动化的攻击流程，使得即便是技术平庸的附属成员，也能借助 LockBit 的工具造成毁灭性破坏。
2.3崩塌前夜：Cronos 行动与领导者“脱面具”

2024 年 2 月的“Cronos 行动”是 LockBit 命运的转折点，但这并非简单的服务器查封，而是一场精心策划的心理战。英国 NCA、美国 FBI 等多国执法机构不仅接管了 LockBit 的暗网泄露站点，还将原本用来恐吓受害者的倒计时页面改造成了揭露 LockBit 成员信息的倒计时。执法机构向登录后台的攻击者弹窗展示其真实的 IP 地址和聊天记录，这种“反向恐吓”瞬间击碎了 RaaS 模式赖以生存的匿名信任基石。
更为致命的一击来自于对首脑身份的彻底剥离。2024 年 5 月，美国司法部正式确认那个在暗网呼风唤雨的“LockBitSupp”真实身份为 31 岁的俄罗斯沃罗涅日居民 Dmitry Khoroshev。情报细节甚至精确到了他居住的公寓楼层、驾驶的豪车以及他用来伪装合法收入的服装电商公司（Tkaner LLC）。调查发现，这位所谓的“攻击者教父”曾因未开启 VPN 登录服务器而暴露了真实家宽 IP（80.xx.xx.194）。这一身份的曝光让整个网络犯罪圈意识到，LockBit 的核心不仅不再安全，甚至可能已经成为了执法部门监控下的“透明人”，这导致大量资深附属成员开始恐慌性撤离。
2.4终局：2025 年数据泄露与“僵尸化”运营的真相

如果说 Cronos 行动是外伤，那么 2025 年 5 月发生的内部数据库泄露则是致死的内伤。攻击者利用 PHP 远程代码执行漏洞（CVE-2024-4577）——讽刺的是，这正是 LockBit 惯用的攻击手段——攻破了 LockBit 重建后的基础设施。这次泄露的数据量之大、敏感度之高前所未有：包含了近 62,400 个比特币钱包地址、75 名核心成员的用户名及明文密码，以及超过 4,400 条详细的勒索谈判记录。
这些泄露的聊天记录揭开了 LockBit 衰败的遮羞布。记录显示，在针对俄罗斯切巴库尔市政府以及中国受害者的攻击案例中，LockBit 提供的解密器根本无法正常工作。面对受害者（甚至中间人）支付赎金后依然无法恢复数据的质问，LockBit 的运营人员因技术故障无法解决，只能选择“装死”沉默。这种“收钱不办事”的信誉破产，加上附属成员担心自己的身份随明文密码一同暴露，导致 LockBit 的生态系统在 2025 年彻底崩盘。如今的 LockBit 虽然名义上发布了 4.0 版本，但实际上已沦为一个充斥着低端攻击者、管理混乱、工具失效的“僵尸组织”，其品牌影响力已被 RansomHub 等新兴对手迅速瓜分。
3.深度威胁情报分析：Weaxor 勒索软件 (Mallox 家族变种)

3.1 执行摘要

Weaxor 被确认为老牌勒索软件 Mallox (TargetCompany) 的最新品牌重塑版本。虽然它继承了 Mallox 针对 Microsoft SQL Server (MSSQL) 的攻击传统，但在战术上进行了重大升级。 最核心的变化在于：引入新型漏洞：除了传统的暴力破解，开始利用 React2Shell (CVE-2025-55182) 漏洞获取初始访问权。独特的投递机制：使用 Cobalt Strike Beacon 作为中间载荷，并利用 sqlps.exe（SQL Server 自带的 PowerShell 工具）替代传统的 powershell.exe 执行恶意脚本，极大地提高了其在受管环境中的规避能力。
3.2 源码分析

相似之处都为不加密固定的五种语言俄语、哈萨克语、白俄罗斯语、乌克兰语和土库曼语；都调整电源计划为高性能模式；删除的注册表内容一致；密钥生成和加密算法基本一致，但是rox在生成随机数的情况下又再次生成了0x38个字节的随机数，修复了mallox会被破解出密钥的情况；

信息回传的格式，以及url极其相似，mallox url如下： 复制代码 隐藏代码http://193.106.xxx.xxx/QWEwqdsvsf/ap.php
weaxor url如下: 复制代码 隐藏代码http://193.143.xxx.xxx/Ujdu8jjooue/biweax.php
不同之处weaxor未对关机键进行隐藏；获取文件方式不同，mallox获取文件方式为遍历文件，然后通过完成端口将文件提交到队列中，加密线程通过队列获取文件，而weaxor则是通过一个全局列表来传输；weaxor开启了较高的编译优化，而malllox则没有。
3.3 详细技术分析

3.3.1 身份与演变
家族谱系：Weaxor 是 Mallox 家族的直系后代。Mallox 自 2021 年活跃以来，曾多次更名（Fargo, Tohnichi, Xollam），Weaxor 是其应对近期执法压力与安全检测的最新“马甲”。重塑目的：通过更改品牌名和文件后缀（主要观测到 .rox，部分情报提及 .weax），试图绕过基于