SOC Prime Bias: Alto

06 Feb 2026 19:01
newspaper icon levelblue.com

19 Sfumature di LockBit5.0, Dentro il Ransomware Multipiattaforma Più Recente: Parte 1

Author Photo
Ruslan Mikhalov Capo della Ricerca sulle Minacce presso SOC Prime linkedin icon Segui
19 Sfumature di LockBit5.0, Dentro il Ransomware Multipiattaforma Più Recente: Parte 1
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Riassunto

L’articolo esamina 19 campioni di ransomware LockBit 5.0 progettati per colpire Windows, Linux e VMware ESXi. Sottolinea la crittografia veloce utilizzando ChaCha20, il design multipiattaforma della famiglia e il comportamento focalizzato su ESXi che può spegnere le macchine virtuali prima di criptare i loro dischi. L’articolo illustra le fasi di esecuzione, le misure anti-analisi e i file specifici dell’hypervisor che il malware prende di mira durante l’impatto.

Investigazione

I ricercatori hanno condotto analisi statiche delle varianti ELF, estraendo percorsi incorporati, stringhe di comandi e interruttori di configurazione. Su ESXi, il malware sfrutta gli strumenti di gestione VMware (incluso vim-cmd) per enumerare e spegnere le VM prima della crittografia del disco, e include controlli anti-debug per strumenti come valgrind e frida. Il campione scrive la telemetria di esecuzione in /var/log/encrypt.log e supporta l’auto-eliminazione al termine della sua routine.

Mitigazione

Monitorare gli host ESXi per l’uso imprevisto dei comandi amministrativi di VMware, eventi di spegnimento non pianificati delle VM, creazione di /var/log/encrypt.log e artefatti come marker .vmdk.fastpass. Ridurre l’esposizione prevenendo l’esecuzione di ELF non affidati sugli hypervisor e applicando un severo controllo degli elenchi di permesso per i binari e gli script autorizzati a girare su ESXi.

Risposta

Se viene rilevata un’attività, isolare l’host ESXi interessato, fermare i processi di VM per contenere la diffusione e conservare le prove forensi (il payload ELF, encrypt.log e i log rilevanti dell’host). Avviare il recupero da snapshot/backup puliti e verificati, quindi eseguire una scansione per componenti ransomware aggiuntivi e convalidare l’integrità dei file critici dell’hypervisor.

graph TB %% Definizioni delle classi classDef action fill:#99ccff classDef tool fill:#cccccc classDef technique fill:#e6e6e6 %% Nodi di azione validate_env[“<b>Azione</b> – <b>T1059.004 Unix Shell</b><br/><b>Descrizione</b>: Validazione dell’ambiente ESXi utilizzando comandi di amministrazione ESXi (T1675) e comandi Unix shell.”] class validate_env action enumerate_vms[“<b>Azione</b> – <b>T1673 Enumerazione delle Macchine Virtuali</b><br/><b>Descrizione</b>: Elenco delle macchine virtuali presenti sull’host ESXi.”] class enumerate_vms action poweroff_vms[“<b>Azione</b> – <b>T1675 Comando di Amministrazione ESXi</b><br/><b>Descrizione</b>: Spegnimento delle macchine virtuali target tramite vimu2011cmd.”] class poweroff_vms action anti_analysis[“<b>Azione</b> – Controlli anti-analisi<br/><b>Tecniche</b>: T1497.001 Controlli di sistema, T1497.002 Controlli attività utente, T1622 Evasione del debugger”] class anti_analysis action encrypt_vm[“<b>Azione</b> – Crittografia dei file VM<br/><b>Tecnica</b>: T1573.001 Canale cifrato (crittografia simmetrica) con ChaCha20”] class encrypt_vm action obfuscate_files[“<b>Azione</b> – Offuscamento dei file cifrati<br/><b>Tecnica</b>: T1027.002 Software Packing”] class obfuscate_files action archive_data[“<b>Azione</b> – Archiviazione dei file cifrati<br/><b>Tecnica</b>: T1560.003 Archiviazione tramite metodo personalizzato”] class archive_data action wipe_free_space[“<b>Azione</b> – Cancellazione opzionale dello spazio libero e delle attività di log”] class wipe_free_space action self_delete[“<b>Azione</b> – Pulizia<br/><b>Tecniche</b>: T1070.004 Eliminazione file, T1027.001 Padding binario, T1027.005 Rimozione indicatori dagli strumenti”] class self_delete action %% Nodi degli strumenti tool_esxi_admin[“<b>Strumento</b> – Comando di Amministrazione ESXi<br/><b>Scopo</b>: Gestione della configurazione dell’host ESXi e del ciclo di vita delle VM.”] class tool_esxi_admin tool tool_vim_cmd[“<b>Strumento</b> – vimu2011cmd<br/><b>Scopo</b>: Utilità da riga di comando ESXi per operazioni sulle VM.”] class tool_vim_cmd tool tool_chacha20[“<b>Strumento</b> – Modulo di crittografia ChaCha20<br/><b>Scopo</b>: Eseguire una cifratura simmetrica rapida e completa.”] class tool_chacha20 tool tool_custom_archive[“<b>Strumento</b> – Archiviatore personalizzato<br/><b>Scopo</b>: Impacchettare i file VM cifrati in un formato di archivio proprietario.”] class tool_custom_archive tool %% Connessioni validate_env –>|utilizza| tool_esxi_admin validate_env –>|esegue| tool_vim_cmd validate_env –>|porta_a| enumerate_vms enumerate_vms –>|utilizza| tool_vim_cmd enumerate_vms –>|porta_a| poweroff_vms poweroff_vms –>|utilizza| tool_vim_cmd poweroff_vms –>|porta_a| anti_analysis anti_analysis –>|esegue| encrypt_vm encrypt_vm –>|utilizza| tool_chacha20 encrypt_vm –>|porta_a| obfuscate_files obfuscate_files –>|porta_a| archive_data archive_data –>|utilizza| tool_custom_archive archive_data –>|porta_a| wipe_free_space wipe_free_space –>|porta_a| self_delete self_delete –>|utilizza| tool_esxi_admin

Flusso dell’Attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo Preliminare di Telemetria & Baseline deve essere superato.

Motivazione: Questa sezione descrive l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO rispecchiare direttamente le TTP identificate e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.

  • Narrativa dell’Attacco & Comandi:
    Un attaccante con accesso amministrativo all’host ESXi carica il payload di LockBit 5.0 tramite il client vSphere. Il ransomware crea la sua directory di lavoro sotto /var/tmp/.guestfs-0/appliance.d/root, scrive un log di crittografia in /var/log/encrypt.log, e inizia a percorrere tutti i datastores VMFS (/vmfs/volumes/) per crittografare i file dei dischi virtuali. I seguenti comandi simulano quel comportamento usando file fittizi innocui:

    1. Crea la directory di staging del ransomware e un file VMFS “crittografato” fittizio.
    2. Scrivi una voce di log che imita lo stato di crittografia di LockBit.
    3. Toccare un file in profondità all’interno di un volume VMFS per replicare l’attività di crittografia in massa.

  • Script di Test di Regressione:

    #!/usr/bin/env bash
set -euo pipefail

# 1️⃣ Create staging directory (simulates LockBit payload unpack)
mkdir -p /var/tmp/.guestfs-0/appliance.d/root
echo "LockBit 5.0 staging directory created" > /var/tmp/.guestfs-0/appliance.d/root/stage.txt

# 2️⃣ Write an encryption log (simulates ransomware activity logging)
LOGFILE="/var/log/encrypt.log"
echo "$(date '+%Y-%m-%d %H:%M:%S') - Encryption started on VMFS datastore" | sudo tee -a "$LOGFILE"

# 3️⃣ Simulate bulk file encryption on a VMFS volume
DUMMY_VMFS_PATH="/vmfs/volumes/lockbit_simulation"
mkdir -p "$DUMMY_VMFS_PATH"
dd if=/dev/zero of="$DUMMY_VMFS_PATH/encrypted_dummy.vmdk" bs=1M count=10 status=none
echo "Dummy VMFS file created to emulate ransomware encryption" | sudo tee -a "$DUMMY_VMFS_PATH/notes.txt"

echo "=== Simulation complete. ==="

    Eseguire lo script come root (o tramite sudo) sull’host ESXi. Gli auditd guarderanno generare open, scrivi, e creat eventi che corrispondono a tutte le parole chiave nella regola Sigma.

  • Comandi di Pulizia:

    #!/usr/bin/env bash
set -euo pipefail

sudo rm -rf /var/tmp/.guestfs-0/appliance.d/root
sudo rm -f /var/log/encrypt.log
sudo rm -rf /vmfs/volumes/lockbit_simulation

echo "=== Cleanup complete. ==="

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis