SOC Prime Bias: Hoch

06 Feb 2026 16:01 UTC

19 Schattierungen von LockBit5.0, Einblicke in die neueste plattformübergreifende Ransomware: Teil 1

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
19 Schattierungen von LockBit5.0, Einblicke in die neueste plattformübergreifende Ransomware: Teil 1
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Der Artikel untersucht 19 LockBit 5.0 Ransomware-Beispiele, die speziell für Angriffe auf Windows, Linux und VMware ESXi entwickelt wurden. Er betont die schnelle Verschlüsselung mittels ChaCha20, das plattformübergreifende Design der Familie und das auf ESXi fokussierte Verhalten, das virtuelle Maschinen vor dem Verschlüsseln ihrer Festplatten herunterfahren kann. Der Artikel beschreibt die Ausführungsphasen, Anti-Analyse-Maßnahmen und die hypervisorspezifischen Dateiziele, die die Malware während des Angriffs priorisiert.

Untersuchung

Forscher führten eine statische Analyse der ELF-Varianten durch, wobei eingebettete Pfade, Befehlszeichenfolgen und Konfigurationsschalter extrahiert wurden. Auf ESXi nutzt die Malware VMware-Management-Tools (einschließlich vim-cmd), um VMs vor der Festplattenverschlüsselung aufzulisten und herunterzufahren, und schließt Anti-Debug-Überprüfungen für Werkzeuge wie Valgrind und Frida ein. Die Probe schreibt Ausführungstelemetrie in /var/log/encrypt.log und unterstützt die Selbstlöschung nach Abschluss der Routine.

Minderung

Überwachen Sie ESXi-Hosts auf unerwartete Nutzung von VMware-Administrationsbefehlen, ungeplante VM-Herunterfahrereignisse, Erstellen von /var/log/encrypt.log und Artefakte wie .vmdk.fastpass-Markierungen. Reduzieren Sie die Exposition, indem Sie unzuverlässige ELF-Ausführungen auf Hypervisoren verhindern und striktes Allow-Listing für Binärdateien und Skripte durchsetzen, die auf ESXi ausgeführt werden dürfen.

Reaktion

Wird Aktivität erkannt, isolieren Sie den betroffenen ESXi-Host, stoppen VM-Prozesse, um die Ausbreitung zu verhindern, und bewahren Sie forensische Beweise (die ELF-Nutzlast, encrypt.log und relevante Hostprotokolle) auf. Beginnen Sie die Wiederherstellung von verifizierten sauberen Snapshots/Backups, durchsuchen Sie dann nach zusätzlichen Ransomware-Komponenten und überprüfen Sie die Integrität kritischer Hypervisor-Dateien.

Angriffsverlauf

Ausführung der Simulation

Voraussetzung: Der Telemetrie- & Basislinien-Vorab-Check muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der vom Angreifer verwendeten Technik (TTP), die die Erkennungsregel auslösen soll. Die Befehle und der Erzähltext MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu generieren, die von der Erkennungslogik erwartet wird.

  • Angriffsbericht & Befehle:
    Ein Angreifer mit administrativem Zugriff auf den ESXi-Host lädt die LockBit 5.0 Nutzlast über den vSphere-Client hoch. Die Ransomware erstellt ihr Arbeitsverzeichnis unter /var/tmp/.guestfs-0/appliance.d/root, schreibt ein Verschlüsselungslog nach /var/log/encrypt.log, und beginnt alle VMFS-Datenspeicher zu durchlaufen (/vmfs/volumes/), um virtuelle Festplattendateien zu verschlüsseln. Die folgenden Befehle emulieren dieses Verhalten unter Verwendung harmloser Dummy-Dateien:

    1. Erstellen Sie das Ransomware-Vorbereitungsverzeichnis und eine Dummy-„verschlüsselte“ VMFS-Datei.
    2. Schreiben Sie einen Logeintrag, der den Verschlüsselungsstatus von LockBit imitiert.
    3. Berühren Sie eine Datei tief in einem VMFS-Volume, um eine Massenverschlüsselungsaktivität zu replizieren.
  • Regressionstest-Skript:

    #!/usr/bin/env bash
    set -euo pipefail
    
    # 1️⃣ Erstellen des Staging-Verzeichnisses (simuliert das Entpacken der LockBit-Nutzlast)
    mkdir -p /var/tmp/.guestfs-0/appliance.d/root
    echo "LockBit 5.0 Staging-Verzeichnis erstellt" > /var/tmp/.guestfs-0/appliance.d/root/stage.txt
    
    # 2️⃣ Schreiben eines Verschlüsselungslogs (simuliert das Protokollieren von Ransomware-Aktivitäten)
    LOGFILE="/var/log/encrypt.log"
    echo "$(date '+%Y-%m-%d %H:%M:%S') - Verschlüsselung auf VMFS-Datenspeicher gestartet" | sudo tee -a "$LOGFILE"
    
    # 3️⃣ Simulation der Verschlüsselung von Massendateien auf einem VMFS-Volume
    DUMMY_VMFS_PATH="/vmfs/volumes/lockbit_simulation"
    mkdir -p "$DUMMY_VMFS_PATH"
    dd if=/dev/zero of="$DUMMY_VMFS_PATH/encrypted_dummy.vmdk" bs=1M count=10 status=none
    echo "Dummy-VMFS-Datei erstellt, um die Ransomware-Verschlüsselung zu emulieren" | sudo tee -a "$DUMMY_VMFS_PATH/notes.txt"
    
    echo "=== Simulation abgeschlossen. ==="

    Führen Sie das Skript als root (oder über sudo) auf dem ESXi-Host aus. Die auditd Watches werden open, write, und creat Ereignisse generieren, die mit allen Schlüsselwörtern in der Sigma-Regel übereinstimmen.

  • Bereinigungskommandos:

    #!/usr/bin/env bash
    set -euo pipefail
    
    sudo rm -rf /var/tmp/.guestfs-0/appliance.d/root
    sudo rm -f /var/log/encrypt.log
    sudo rm -rf /vmfs/volumes/lockbit_simulation
    
    echo "=== Bereinigung abgeschlossen. ==="