19 Tonos de LockBit5.0, Dentro del Último Ransomware Multiplataforma: Parte 1
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
El artículo revisa 19 muestras de ransomware LockBit 5.0 diseñadas para atacar Windows, Linux y VMware ESXi. Se destaca la rápida encriptación usando ChaCha20, el diseño multiplataforma de la familia y el comportamiento centrado en ESXi que puede apagar máquinas virtuales antes de cifrar sus discos. El escrito recorre las etapas de ejecución, las medidas anti-análisis y los archivos específicos del hipervisor que el malware prioriza durante el impacto.
Investigación
Los investigadores realizaron un análisis estático de las variantes ELF, extrayendo rutas incrustadas, cadenas de comandos y configuraciones. En ESXi, el malware aprovecha las herramientas de gestión de VMware (incluido vim-cmd) para enumerar y apagar máquinas virtuales antes del cifrado de discos, e incluye comprobaciones anti-depuración para herramientas como valgrind y frida. La muestra escribe telemetría de ejecución en /var/log/encrypt.log y admite autoeliminación tras completar su rutina.
Mitigación
Monitorea los hosts ESXi buscando usos inesperados de comandos administrativos de VMware, eventos no planificados de apagado de máquinas virtuales, creación de /var/log/encrypt.log y artefactos como marcadores .vmdk.fastpass. Reduce la exposición evitando la ejecución de ELF no confiable en hipervisores y aplicando una estricta lista blanca para binarios y scripts permitidos en ESXi.
Respuesta
Si se detecta actividad, aísla el host ESXi afectado, detén los procesos de máquinas virtuales para contener la propagación y preserva la evidencia forense (el payload ELF, encrypt.log y los registros relevantes del host). Comienza la recuperación a partir de instantáneas/copia de seguridad limpias verificadas, luego busca componentes adicionales de ransomware y valida la integridad de archivos críticos del hipervisor.
Flujo de ataque
Detecciones
Linux/ESXi – Control masivo de energía de VM a través de vim-cmd (vía línea de comandos)
Ver
Posible indicador de anti-depuración a través de verificación TracerPid (vía línea de comandos)
Ver
Detección de actividad de ransomware LockBit 5.0 en ESXi [Evento de archivo Linux]
Ver
Detección de actividad de ransomware LockBit 5.0 en ESXi [Creación de proceso Linux]
Ver
Ejecución de simulación
Requisito previo: La verificación previa de Telemetría y Línea Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica adversaria (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntan a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa de ataque y comandos:
Un atacante con acceso administrativo al host ESXi carga el payload de LockBit 5.0 a través del cliente vSphere. El ransomware crea su directorio de trabajo bajo/var/tmp/.guestfs-0/appliance.d/root, escribe un registro de cifrado en/var/log/encrypt.log, y comienza a recorrer todos los almacenes de datos VMFS (/vmfs/volumes/) para cifrar archivos de discos virtuales. Los siguientes comandos emulan ese comportamiento usando archivos ficticios inofensivos:- Crea el directorio de preparación del ransomware y un archivo VMFS «cifrado» ficticio.
- Escribe una entrada de registro que imita el estado de cifrado de LockBit.
- Toca un archivo dentro de un volumen VMFS para replicar la actividad de cifrado masivo.
-
Script de prueba de regresión:
#!/usr/bin/env bash set -euo pipefail # 1️⃣ Crea el directorio de preparación (simula el desempaquetado del payload de LockBit) mkdir -p /var/tmp/.guestfs-0/appliance.d/root echo "Directorio de preparación LockBit 5.0 creado" > /var/tmp/.guestfs-0/appliance.d/root/stage.txt # 2️⃣ Escribe un registro de cifrado (simula el registro de actividad del ransomware) LOGFILE="/var/log/encrypt.log" echo "$(date '+%Y-%m-%d %H:%M:%S') - Cifrado iniciado en el almacén de datos VMFS" | sudo tee -a "$LOGFILE" # 3️⃣ Simula el cifrado masivo de archivos en un volumen VMFS DUMMY_VMFS_PATH="/vmfs/volumes/lockbit_simulation" mkdir -p "$DUMMY_VMFS_PATH" dd if=/dev/zero of="$DUMMY_VMFS_PATH/encrypted_dummy.vmdk" bs=1M count=10 status=none echo "Archivo VMFS ficticio creado para emular el cifrado por ransomware" | sudo tee -a "$DUMMY_VMFS_PATH/notes.txt" echo "=== Simulación completa. ==="Ejecuta el script como root (o vía sudo) en el host ESXi. Las
auditdmirarán generaránopen,write, ycreateventos que coinciden con todas las palabras clave en la regla Sigma. -
Comandos de limpieza:
#!/usr/bin/env bash set -euo pipefail sudo rm -rf /var/tmp/.guestfs-0/appliance.d/root sudo rm -f /var/log/encrypt.log sudo rm -rf /vmfs/volumes/lockbit_simulation echo "=== Limpieza completa. ==="