Предупреждение об атаке: lockbit5 нацелен на marriott.com - US
Introduction
Гигант гостиничной индустрии Marriott International (marriott.com), в которой работает более 120 000 человек и выручка которого составляет 20,97 млрд долларов США, столкнулся с новой киберугрозой в декабре 2025 года. Группа шифровальщиков LockBit5 взяла на себя ответственность за взлом инфраструктуры этой глобальной сети отелей, что потенциально привело к раскрытию конфиденциальных данных клиентов, бронирований и платежных систем. Эта атака, получившая статус XC SIGNAL согласно нашему сертифицированному анализу, произошла в то время, когда сектор гостеприимства и без того ослаблен повторяющимися инцидентами кибербезопасности. Взлом, обнаруженный 7 декабря 2025 года, ставит под сомнение защиту персональных данных миллионов путешественников по всему миру.
Эта компрометация произошла на фоне всплеска кибератак, нацеленных на базы данных клиентов и системы бронирования в гостиничной индустрии США. Злоумышленники эксплуатируют высокую рыночную стоимость информации, связанной с кредитными картами, идентификационными данными и предпочтениями в путешествиях. Для компании Marriott, управляющей критически важными системами управления недвижимостью с момента своего основания в 1927 году, последствия такого нарушения выходят далеко за рамки технической сферы, подрывая доверие клиентов по всему миру.
Analyse détaillée
Анализ доступных метаданных показывает, что LockBit5 сохраняет свои агрессивные позиции на глобальном рынке киберпреступности. Данные, сертифицированные в блокчейне Polygon, позволяют точно определить хронологию инцидента, обеспечивая беспрецедентную прозрачность в традиционно непрозрачной области. Эта атака на организацию такого размера демонстрирует способность коллектива атаковать сложные и высокозащищенные инфраструктуры.
Уровень XC SIGNAL указывает на обнаруженное воздействие, но его масштабы все еще оцениваются нашими аналитическими системами. В отличие от уровней MINIMAL, PARTIAL или FULL, которые точно определяют объем скомпрометированных файлов, статус SIGNAL сигнализирует об активной заявке, требующей пристального мониторинга. Эта классификация позволяет службам безопасности расставить приоритеты в своих действиях, ожидая более конкретной информации о точном характере затронутых цифровых активов.
LockBit5 представляет собой новейшее поколение особенно плодовитой и адаптивной франшизы программ-вымогателей. Действуя по модели «программы-вымогатели как услуга» (RaaS), этот киберпреступный коллектив предоставляет свою вредоносную инфраструктуру своим партнёрам, которые осуществляют атаки на местах, а затем делят между собой полученную прибыль. Такая децентрализованная структура значительно усложняет властям процесс атрибуции и дезинформации.
Группировка следует по стопам предыдущих версий LockBit, известных своей технической сложностью и оперативной агрессивностью. Анализ, проведённый нашими экспертами по анализу угроз, показывает, что LockBit5 использует целый арсенал проверенных тактик, методов и процедур (TTP): эксплуатация уязвимостей нулевого дня, компрометация привилегированных учётных записей, скрытое горизонтальное перемещение и массовая утечка данных до шифрования. Их отличительная черта — двойное вымогательство: шифрование систем и угроза публикации украденных данных.
В 2025 году LockBit5 применяет оппортунистическую стратегию атак, нанося удары как по малым, так и по международным компаниям. Их предыдущие жертвы охватывают все критически важные секторы: здравоохранение, финансы, производство, а теперь и гостиничный бизнес. Группа поддерживает специальный сайт для сбора утечек в даркнете, где они постепенно публикуют файлы организаций, отказывающихся платить, тем самым усиливая психологическое и репутационное давление.
Их методы работы основаны на классических векторах первоначальных атак: изощрённые фишинговые письма, эксплуатация слабо защищённых RDP-сервисов и взлом цепочки поставок программного обеспечения. После получения первоначального доступа аффилированные лица LockBit5 используют инструменты сетевой разведки, повышают свои привилегии и устанавливают механизмы защиты перед эксфильтрацией. Окончательное шифрование обычно происходит в выходные дни или в периоды низкой активности для максимального эффекта.
→ Полный анализ группы LockBit5
Marriott International уже почти столетие является краеугольным камнем мировой индустрии гостеприимства. Основанная в 1927 году, компания выросла из скромного киоска по продаже рутбира в Вашингтоне, округ Колумбия, в гостиничную империю, которая сегодня управляет более чем 8000 объектов недвижимости в 139 странах и территориях. Портфель престижных брендов, включающий Ritz-Carlton, St. Regis, W Hotels, Sheraton и Westin, позиционирует marriott.com как ведущего эксперта в сфере гостеприимства.
С более чем 120 000 сотрудников и выручкой в 20,97 млрд долларов, эта американская организация ежедневно обрабатывает миллионы конфиденциальных транзакций. Её ИТ-системы обрабатывают бронирования, платежи по кредитным картам, программы лояльности (Marriott Bonvoy насчитывает более 180 миллионов участников), биометрические данные в некоторых отелях и информацию о личных предпочтениях клиентов. Такая огромная концентрация личной и финансовой информации делает Marriott главной мишенью для злоумышленников.
Технологическая инфраструктура Marriott.com основана на взаимосвязанных системах управления отелем (PMS), платформах онлайн-бронирования, мобильных приложениях и глобально распределённых сетях точек продаж. Эта архитектурная сложность, необходимая для работы в международном масштабе, многократно увеличивает количество потенциальных направлений атак. Каждый отель представляет собой возможную точку входа в центральную корпоративную сеть, что создаёт серьёзные проблемы безопасности.
К сожалению, компания не понаслышке знакома с серьёзными инцидентами кибербезопасности. В 2018 году Marriott сообщила о масштабной утечке своей базы данных Starwood (приобретенной в 2016 году), которая затронула персональные данные 500 миллионов клиентов за четыре года. Эта историческая утечка привела к значительным штрафам со стороны регулирующих органов и долгосрочному ущербу для репутации. Повторение подобных инцидентов ставит под сомнение эффективность инвестиций в безопасность после 2018 года.
→ Другие атаки в сфере гостеприимства
Статус XC SIGNAL, присвоенный этой компрометации, указывает на активное заявление LockBit5 без немедленного подтверждения точного объёма украденных файлов. Наши аналитические системы XC-Classify, основанные на методологиях классификации инцидентов NIST, постоянно отслеживают каналы связи группы для обновления этой оценки. Данные свидетельствуют о том, что злоумышленники потенциально получили доступ к системам управления клиентами и бронированием, критически важным разделам, содержащим имена, адреса, номера паспортов, банковские реквизиты и историю пребывания.
Анализ требований, опубликованных LockBit5 в их даркнет-инфраструктуре, выявил явное упоминание marriott.com, датированное 7 декабря 2025 года. Киберпреступники обычно следуют поэтапному графику: первоначальное объявление, образцы доказательств и постепенное раскрытие информации в случае неуплаты выкупа. На этом этапе отсутствие общедоступных файлов может указывать либо на текущие переговоры, либо на наличие льготного периода перед эскалацией.
Вероятные векторы атак на организацию такого размера включают в себя компрометацию учетных записей администраторов путем подмены учетных данных или целевого фишинга, эксплуатацию неисправленных уязвимостей в сторонних системах управления гостиничным бизнесом (PMS) или проникновение через поставщика управляемых услуг. Взаимосвязанность более 8000 объектов Marriott создает множество возможностей для скрытого горизонтального перемещения после получения первоначального доступа. Партнеры LockBit5 обычно предпочитают длительные периоды разведки (несколько недель) для составления карты окружения перед эксфильтрацией.
Questions Fréquentes
When did the attack by lockbit5 on marriott.com occur?
The attack occurred on December 7, 2025 and was claimed by lockbit5. The incident can be tracked directly on the dedicated alert page for marriott.com.
Who is the victim of lockbit5?
The victim is marriott.com and operates in the hospitality sector. The company is located in United States. Visit marriott.com's official website. To learn more about the lockbit5 threat actor and their other attacks, visit their dedicated page.
What is the XC protocol level for the attack on marriott.com?
The XC protocol level is currently at XC SIGNAL status, meaning the attack on marriott.com has been claimed by lockbit5 but has not yet been confirmed by our community. Follow the progress of this alert.
Conclusion
Вероятная хронология инцидента предполагает, что первоначальное вторжение произошло за несколько недель до заявления от 7 декабря. Злоумышленники, вероятно, создали несколько точек защиты, повысили привилегии до учётных записей администраторов домена и выявили наиболее конфиденциальные базы данных. Массовая эксфильтрация могла произойти за несколько дней до внедрения программы-вымогателя, следуя классической схеме двойного вымогательства. Службы безопасности Marriott, вероятно, обнаружили вредоносную активность во время шифрования или с помощью оповещений об аномальной передаче данных.