19 Nuances de LockBit5.0, À l’intérieur du Dernier Rançongiciel Multi-Plateforme : Partie 1
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
L’article passe en revue 19 échantillons de ransomware LockBit 5.0 conçus pour cibler Windows, Linux, et VMware ESXi. Il met en avant le chiffrement rapide utilisant ChaCha20, le design multiplateforme de la famille, et le comportement axé sur ESXi qui peut éteindre les machines virtuelles avant de chiffrer leurs disques. L’article décrit les étapes d’exécution, les mesures anti-analyse, et les cibles de fichiers spécifiques à l’hyperviseur que le malware priorise lors de l’impact.
Enquête
Les chercheurs ont mené une analyse statique des variantes ELF, extrayant les chemins intégrés, les chaînes de commande, et les commutateurs de configuration. Sur ESXi, le malware utilise les outils de gestion VMware (y compris vim-cmd) pour énumérer et arrêter les VMs avant le chiffrement des disques, et inclut des vérifications anti-débogage pour des outils comme valgrind et frida. L’échantillon écrit la télémétrie d’exécution dans /var/log/encrypt.log et prend en charge l’auto-suppression après avoir terminé sa routine.
Atténuation
Surveillez les hôtes ESXi pour l’utilisation inattendue de commandes administratives VMware, les événements d’arrêt de VM non planifiés, la création de /var/log/encrypt.log, et les artefacts tels que les marqueurs .vmdk.fastpass. Réduisez l’exposition en empêchant l’exécution ELF non fiable sur les hyperviseurs et en appliquant une liste blanche stricte pour les binaires et scripts autorisés à s’exécuter sur ESXi.
Réponse
Si une activité est détectée, isolez l’hôte ESXi affecté, arrêtez les processus VM pour contenir la propagation, et préservez les preuves forensiques (la charge utile ELF, encrypt.log, et les journaux d’hôte pertinents). Commencez la récupération à partir de clichés/ sauvegardes vérifiés propres, puis balayez pour des composants de ransomware supplémentaires et validez l’intégrité des fichiers critiques de l’hyperviseur.
Flux d’attaque
Détections
Linux/ESXi – Contrôle massif de VM via vim-cmd (via ligne de commande)
Voir
Indicateur possible de détection anti-débogage via TracerPid (via ligne de commande)
Voir
Détection de l’activité du ransomware LockBit 5.0 sur ESXi [Événement de fichier Linux]
Voir
Détection de l’activité ransomware LockBit 5.0 ESXi [Création de processus Linux]
Voir
Exécution de simulation
Condition préalable : la vérification préliminaire de télémétrie & baseline doit être passée.
Rationalisation : cette section détaille l’exécution précise de la technique de l’adversaire (TTP) destinée à déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiées et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Narration & Commandes d’Attaque :
Un assaillant avec un accès administratif à l’hôte ESXi télécharge la charge utile LockBit 5.0 via le client vSphere. Le ransomware crée son répertoire de travail sous/var/tmp/.guestfs-0/appliance.d/root, écrit un journal de chiffrement dans/var/log/encrypt.log, et commence à parcourir tous les magasins de données VMFS (/vmfs/volumes/) pour chiffrer les fichiers de disque virtuel. Les commandes suivantes émulent ce comportement en utilisant des fichiers fictifs inoffensifs :- Créez le répertoire de mise en scène du ransomware et un fichier VMFS « chiffré » factice.
- Écrivez une entrée de journal qui imite le statut de chiffrement de LockBit.
- Touchez un fichier au plus profond d’un volume VMFS pour reproduire une activité de chiffrement massive.
-
Script de test de régression :
#!/usr/bin/env bash set -euo pipefail # 1️⃣ Créez le répertoire de mise en scène (simule le déballage de la charge utile LockBit) mkdir -p /var/tmp/.guestfs-0/appliance.d/root echo "Répertoire de mise en scène LockBit 5.0 créé" > /var/tmp/.guestfs-0/appliance.d/root/stage.txt # 2️⃣ Écrivez un journal de chiffrement (simule l'enregistrement d'activité de ransomware) LOGFILE="/var/log/encrypt.log" echo "$(date '+%Y-%m-%d %H:%M:%S') - Le chiffrement a commencé sur le datastore VMFS" | sudo tee -a "$LOGFILE" # 3️⃣ Simulez le chiffrement de fichiers en masse sur un volume VMFS DUMMY_VMFS_PATH="/vmfs/volumes/lockbit_simulation" mkdir -p "$DUMMY_VMFS_PATH" dd if=/dev/zero of="$DUMMY_VMFS_PATH/encrypted_dummy.vmdk" bs=1M count=10 status=none echo "Fichier VMFS factice créé pour émuler le chiffrement par ransomware" | sudo tee -a "$DUMMY_VMFS_PATH/notes.txt" echo "=== Simulation complète. ==="Exécutez le script en tant que root (ou via sudo) sur l’hôte ESXi. Les
auditdwatchers générerontopen,write, etcreatévénements qui correspondent à tous les mots-clés dans la règle Sigma. -
Commandes de nettoyage :
#!/usr/bin/env bash set -euo pipefail sudo rm -rf /var/tmp/.guestfs-0/appliance.d/root sudo rm -f /var/log/encrypt.log sudo rm -rf /vmfs/volumes/lockbit_simulation echo "=== Nettoyage complet. ==="