LockBit får en ny version

Eskil Sørensen

02.17.2026 10:00

Ransomware-familien udvikles stadig og kommer nu med fuld cross‑platform kapacitet

LockBit-gruppen insisterer tilsyneladende på at demonstrere, at selv omfattende internationale politiaktioner kun er midlertidige bump på vejen. Den seneste version af deres ransomware, LockBit 5.0, er nu observeret i aktive kampagner, og den viser en markant udvidelse af gruppens tekniske rækkevidde.

Det skriver Help Net Security baseret på en rapport fra Acronis Threat Research Unit (TRU). I denne hedder det, at den nye version - LockBit 5.0 - er designet som en fuldblods multi‑platform med dedikerede builds til Windows, Linux og VMware ESXi. Det betyder i praksis, at en angriber kan orkestrere en samlet kompromittering af end points , servere og hypervisors i én og samme operation. Ransomware-as-a-service (RaaS) har med andre ord taget endnu et skridt i retning af enterprise‑tilpassede angreb, konkluderes det.

Nye tekniske evner samme formål

Windows-varianten er blevet udstyret med avancerede anti-analyse-teknikker, tung obfuscation og mekanismer til at undgå moderne forsvarsløsninger. TRU beskriver blandt andet forsøg på aktivt at forstyrre monitoreringskomponenter, hvilket gør det mere sandsynligt, at angrebet først opdages, når krypteringen er godt i gang.

På Linux- og ESXi-siden bliver det ikke mindre alvorligt, fremgår det. De dedikerede builds til virtualiseringsmiljøer har som mål at ramme kritiske servere og flere virtuelle maskiner på samme tid. Et kompromitteret ESXi-hostsystem kan dermed blive et multiplikator-angreb: én indgang giver adgang til mange workloads, som alle kan blive krypteret i ét hug.

Randomiserede filendelser og hurtig spredning

LockBit 5.0 fastholder familiens karakteristiske aggressive krypteringsmetoder og tilføjer nu tilfældigt genererede filendelser, som gør manuel recovery og triagering yderligere udfordrende. Trusselsaktørerne har tydeligvis fokus på at ramme backend‑systemer, virtualiseringslag og andre kritiske dele af moderne IT-infrastruktur. Altså de steder, hvor nedbrud gør allermest ondt, og hvor afpresningen dermed har størst effekt.

Lockbit insisterer på at overleve

LockBit-netværket har været udsat for vedholdende pres fra myndigheder verden over. Men den nye version af LockBit illustrerer ifølge Help Net Security, at gruppen evner at omstille sig hurtigt og fortsætte sine operationer i nye tekniske inkarnationer. Udviklingen peger desuden på, at enterprise‑miljøer fortsat er højprioritetsmål: virtualisering, containerisering og komplekse backend‑systemer bliver nu set som attraktive indgange, ikke besværlige barrierer.

De nødvendige modforanstaltninger

Acronis TRU afslutter sin rapport med at anbefalen velkendt, men stadig helt central flerlaget strategi:

Robust endpoint‑ og serverbeskyttelse på tværs af Windows, Linux og virtualiserede platforme
Netværkssegmentering, så en enkelt indtrængning ikke bliver en fribillet til alt'
Stærk adgangskontrol, dvs. MFA på ALLE administrative grænseflader
Offline, regelmæssigt testede backups
Synlighed på tværs af miljøer, særligt i hybrid- og virtualiserede infrastrukturer

Ransomware-operatører bliver ikke mindre teknisk sofistikerede. Tværtimod. Derfor bliver evnen til at opdage, afgrænse og nedkæmpe angreb på tværs af platforme stadig mere afgørende. LockBit 5.0 er endnu et eksempel på, at moderne ransomware er infrastrukturtrusler i fuldskalaklassen.

Læs mere

https://www.helpnetsecurity.com/2026/02/16/lockbit-5-0-ransomware-windows-linux-esxi/

Trusselsvurdering