SOC Prime Bias: Alto

06 Feb 2026 16:01 UTC

19 Tonos de LockBit5.0, Dentro del Último Ransomware Multiplataforma: Parte 1

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
19 Tonos de LockBit5.0, Dentro del Último Ransomware Multiplataforma: Parte 1
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

El artículo revisa 19 muestras de ransomware LockBit 5.0 diseñadas para atacar Windows, Linux y VMware ESXi. Se destaca la rápida encriptación usando ChaCha20, el diseño multiplataforma de la familia y el comportamiento centrado en ESXi que puede apagar máquinas virtuales antes de cifrar sus discos. El escrito recorre las etapas de ejecución, las medidas anti-análisis y los archivos específicos del hipervisor que el malware prioriza durante el impacto.

Investigación

Los investigadores realizaron un análisis estático de las variantes ELF, extrayendo rutas incrustadas, cadenas de comandos y configuraciones. En ESXi, el malware aprovecha las herramientas de gestión de VMware (incluido vim-cmd) para enumerar y apagar máquinas virtuales antes del cifrado de discos, e incluye comprobaciones anti-depuración para herramientas como valgrind y frida. La muestra escribe telemetría de ejecución en /var/log/encrypt.log y admite autoeliminación tras completar su rutina.

Mitigación

Monitorea los hosts ESXi buscando usos inesperados de comandos administrativos de VMware, eventos no planificados de apagado de máquinas virtuales, creación de /var/log/encrypt.log y artefactos como marcadores .vmdk.fastpass. Reduce la exposición evitando la ejecución de ELF no confiable en hipervisores y aplicando una estricta lista blanca para binarios y scripts permitidos en ESXi.

Respuesta

Si se detecta actividad, aísla el host ESXi afectado, detén los procesos de máquinas virtuales para contener la propagación y preserva la evidencia forense (el payload ELF, encrypt.log y los registros relevantes del host). Comienza la recuperación a partir de instantáneas/copia de seguridad limpias verificadas, luego busca componentes adicionales de ransomware y valida la integridad de archivos críticos del hipervisor.

Flujo de ataque

Ejecución de simulación

Requisito previo: La verificación previa de Telemetría y Línea Base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica adversaria (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntan a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa de ataque y comandos:
    Un atacante con acceso administrativo al host ESXi carga el payload de LockBit 5.0 a través del cliente vSphere. El ransomware crea su directorio de trabajo bajo /var/tmp/.guestfs-0/appliance.d/root, escribe un registro de cifrado en /var/log/encrypt.log, y comienza a recorrer todos los almacenes de datos VMFS (/vmfs/volumes/) para cifrar archivos de discos virtuales. Los siguientes comandos emulan ese comportamiento usando archivos ficticios inofensivos:

    1. Crea el directorio de preparación del ransomware y un archivo VMFS «cifrado» ficticio.
    2. Escribe una entrada de registro que imita el estado de cifrado de LockBit.
    3. Toca un archivo dentro de un volumen VMFS para replicar la actividad de cifrado masivo.
  • Script de prueba de regresión:

    #!/usr/bin/env bash
    set -euo pipefail
    
    # 1️⃣ Crea el directorio de preparación (simula el desempaquetado del payload de LockBit)
    mkdir -p /var/tmp/.guestfs-0/appliance.d/root
    echo "Directorio de preparación LockBit 5.0 creado" > /var/tmp/.guestfs-0/appliance.d/root/stage.txt
    
    # 2️⃣ Escribe un registro de cifrado (simula el registro de actividad del ransomware)
    LOGFILE="/var/log/encrypt.log"
    echo "$(date '+%Y-%m-%d %H:%M:%S') - Cifrado iniciado en el almacén de datos VMFS" | sudo tee -a "$LOGFILE"
    
    # 3️⃣ Simula el cifrado masivo de archivos en un volumen VMFS
    DUMMY_VMFS_PATH="/vmfs/volumes/lockbit_simulation"
    mkdir -p "$DUMMY_VMFS_PATH"
    dd if=/dev/zero of="$DUMMY_VMFS_PATH/encrypted_dummy.vmdk" bs=1M count=10 status=none
    echo "Archivo VMFS ficticio creado para emular el cifrado por ransomware" | sudo tee -a "$DUMMY_VMFS_PATH/notes.txt"
    
    echo "=== Simulación completa. ==="

    Ejecuta el script como root (o vía sudo) en el host ESXi. Las auditd mirarán generarán open, write, y creat eventos que coinciden con todas las palabras clave en la regla Sigma.

  • Comandos de limpieza:

    #!/usr/bin/env bash
    set -euo pipefail
    
    sudo rm -rf /var/tmp/.guestfs-0/appliance.d/root
    sudo rm -f /var/log/encrypt.log
    sudo rm -rf /vmfs/volumes/lockbit_simulation
    
    echo "=== Limpieza completa. ==="