Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
El artículo revisa 19 muestras de ransomware LockBit 5.0 diseñadas para atacar Windows, Linux y VMware ESXi. Se destaca la rápida encriptación usando ChaCha20, el diseño multiplataforma de la familia y el comportamiento centrado en ESXi que puede apagar máquinas virtuales antes de cifrar sus discos. El escrito recorre las etapas de ejecución, las medidas anti-análisis y los archivos específicos del hipervisor que el malware prioriza durante el impacto.
Investigación
Los investigadores realizaron un análisis estático de las variantes ELF, extrayendo rutas incrustadas, cadenas de comandos y configuraciones. En ESXi, el malware aprovecha las herramientas de gestión de VMware (incluido vim-cmd) para enumerar y apagar máquinas virtuales antes del cifrado de discos, e incluye comprobaciones anti-depuración para herramientas como valgrind y frida. La muestra escribe telemetría de ejecución en /var/log/encrypt.log y admite autoeliminación tras completar su rutina.
Mitigación
Monitorea los hosts ESXi buscando usos inesperados de comandos administrativos de VMware, eventos no planificados de apagado de máquinas virtuales, creación de /var/log/encrypt.log y artefactos como marcadores .vmdk.fastpass. Reduce la exposición evitando la ejecución de ELF no confiable en hipervisores y aplicando una estricta lista blanca para binarios y scripts permitidos en ESXi.
Respuesta
Si se detecta actividad, aísla el host ESXi afectado, detén los procesos de máquinas virtuales para contener la propagación y preserva la evidencia forense (el payload ELF, encrypt.log y los registros relevantes del host). Comienza la recuperación a partir de instantáneas/copia de seguridad limpias verificadas, luego busca componentes adicionales de ransomware y valida la integridad de archivos críticos del hipervisor.
«graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef technique fill:#e6e6e6 %% Action nodes validate_env[«<b>Action</b> – <b>T1059.004 Unix Shell</b><br/><b>Description</b>: Validate ESXi environment using ESXi Administration Command (T1675) and Unix shell commands.»] class validate_env action enumerate_vms[«<b>Action</b> – <b>T1673 Enumerate Virtual Machines</b><br/><b>Description</b>: List virtual machines present on the ESXi host.»] class enumerate_vms action poweroff_vms[«<b>Action</b> – <b>T1675 ESXi Administration Command</b><br/><b>Description</b>: Power off target virtual machines via vimu2011cmd.»] class poweroff_vms action anti_analysis[«<b>Action</b> – Antiu2011analysis checks<br/><b>Techniques</b>: T1497.001 System Checks, T1497.002 User Activity Checks, T1622 Debugger Evasion»] class anti_analysis action encrypt_vm[«<b>Action</b> – Encrypt VM files<br/><b>Technique</b>: T1573.001 Encrypted Channel (Symmetric Cryptography) using ChaCha20»] class encrypt_vm action obfuscate_files[«<b>Action</b> – Obfuscate encrypted files<br/><b>Technique</b>: T1027.002 Software Packing»] class obfuscate_files action archive_data[«<b>Action</b> – Archive encrypted files<br/><b>Technique</b>: T1560.003 Archive via Custom Method»] class archive_data action wipe_free_space[«<b>Action</b> – Optional wipe of free space and log activity»] class wipe_free_space action self_delete[«<b>Action</b> – Cleanup<br/><b>Techniques</b>: T1070.004 File Deletion, T1027.001 Binary Padding, T1027.005 Indicator Removal from Tools»] class self_delete action %% Tool nodes tool_esxi_admin[«<b>Tool</b> – ESXi Administration Command<br/><b>Purpose</b>: Manage ESXi host configuration and VM lifecycle.»] class tool_esxi_admin tool tool_vim_cmd[«<b>Tool</b> – vimu2011cmd<br/><b>Purpose</b>: ESXi commandu2011line utility for VM operations.»] class tool_vim_cmd tool tool_chacha20[«<b>Tool</b> – ChaCha20 Encryption Module<br/><b>Purpose</b>: Perform fastu2011pass then fullu2011pass symmetric encryption.»] class tool_chacha20 tool tool_custom_archive[«<b>Tool</b> – Custom Archiver<br/><b>Purpose</b>: Package encrypted VM files into a proprietary archive format.»] class tool_custom_archive tool %% Connections validate_env u002du002d>|uses| tool_esxi_admin validate_env u002du002d>|executes| tool_vim_cmd validate_env u002du002d>|leads_to| enumerate_vms enumerate_vms u002du002d>|uses| tool_vim_cmd enumerate_vms u002du002d>|leads_to| poweroff_vms poweroff_vms u002du002d>|uses| tool_vim_cmd poweroff_vms u002du002d>|leads_to| anti_analysis anti_analysis u002du002d>|executes| encrypt_vm encrypt_vm u002du002d>|uses| tool_chacha20 encrypt_vm u002du002d>|leads_to| obfuscate_files obfuscate_files u002du002d>|leads_to| archive_data archive_data u002du002d>|uses| tool_custom_archive archive_data u002du002d>|leads_to| wipe_free_space wipe_free_space u002du002d>|leads_to| self_delete self_delete u002du002d>|uses| tool_esxi_admin «
Flujo de ataque
Detecciones
Linux/ESXi – Control masivo de energía de VM a través de vim-cmd (vía línea de comandos)
Ver
Posible indicador de anti-depuración a través de verificación TracerPid (vía línea de comandos)
Ver
Detección de actividad de ransomware LockBit 5.0 en ESXi [Evento de archivo Linux]
Ver
Detección de actividad de ransomware LockBit 5.0 en ESXi [Creación de proceso Linux]
Ver
Ejecución de simulación
Requisito previo: La verificación previa de Telemetría y Línea Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica adversaria (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntan a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa de ataque y comandos:
Un atacante con acceso administrativo al host ESXi carga el payload de LockBit 5.0 a través del cliente vSphere. El ransomware crea su directorio de trabajo bajo/var/tmp/.guestfs-0/appliance.d/root, escribe un registro de cifrado en/var/log/encrypt.log, y comienza a recorrer todos los almacenes de datos VMFS (/vmfs/volumes/) para cifrar archivos de discos virtuales. Los siguientes comandos emulan ese comportamiento usando archivos ficticios inofensivos:- Crea el directorio de preparación del ransomware y un archivo VMFS «cifrado» ficticio.
- Escribe una entrada de registro que imita el estado de cifrado de LockBit.
- Toca un archivo dentro de un volumen VMFS para replicar la actividad de cifrado masivo.
-
Script de prueba de regresión:
#!/usr/bin/env bash set -euo pipefail # 1️⃣ Crea el directorio de preparación (simula el desempaquetado del payload de LockBit) mkdir -p /var/tmp/.guestfs-0/appliance.d/root echo "Directorio de preparación LockBit 5.0 creado" > /var/tmp/.guestfs-0/appliance.d/root/stage.txt # 2️⃣ Escribe un registro de cifrado (simula el registro de actividad del ransomware) LOGFILE="/var/log/encrypt.log" echo "$(date '+%Y-%m-%d %H:%M:%S') - Cifrado iniciado en el almacén de datos VMFS" | sudo tee -a "$LOGFILE" # 3️⃣ Simula el cifrado masivo de archivos en un volumen VMFS DUMMY_VMFS_PATH="/vmfs/volumes/lockbit_simulation" mkdir -p "$DUMMY_VMFS_PATH" dd if=/dev/zero of="$DUMMY_VMFS_PATH/encrypted_dummy.vmdk" bs=1M count=10 status=none echo "Archivo VMFS ficticio creado para emular el cifrado por ransomware" | sudo tee -a "$DUMMY_VMFS_PATH/notes.txt" echo "=== Simulación completa. ==="Ejecuta el script como root (o vía sudo) en el host ESXi. Las
auditdmirarán generaránopen,write, ycreateventos que coinciden con todas las palabras clave en la regla Sigma. -
Comandos de limpieza:
#!/usr/bin/env bash set -euo pipefail sudo rm -rf /var/tmp/.guestfs-0/appliance.d/root sudo rm -f /var/log/encrypt.log sudo rm -rf /vmfs/volumes/lockbit_simulation echo "=== Limpieza completa. ==="