SOC Prime Bias: Élevé

06 Feb 2026 16:01 UTC

19 Nuances de LockBit5.0, À l’intérieur du Dernier Rançongiciel Multi-Plateforme : Partie 1

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
19 Nuances de LockBit5.0, À l’intérieur du Dernier Rançongiciel Multi-Plateforme : Partie 1
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

L’article passe en revue 19 échantillons de ransomware LockBit 5.0 conçus pour cibler Windows, Linux, et VMware ESXi. Il met en avant le chiffrement rapide utilisant ChaCha20, le design multiplateforme de la famille, et le comportement axé sur ESXi qui peut éteindre les machines virtuelles avant de chiffrer leurs disques. L’article décrit les étapes d’exécution, les mesures anti-analyse, et les cibles de fichiers spécifiques à l’hyperviseur que le malware priorise lors de l’impact.

Enquête

Les chercheurs ont mené une analyse statique des variantes ELF, extrayant les chemins intégrés, les chaînes de commande, et les commutateurs de configuration. Sur ESXi, le malware utilise les outils de gestion VMware (y compris vim-cmd) pour énumérer et arrêter les VMs avant le chiffrement des disques, et inclut des vérifications anti-débogage pour des outils comme valgrind et frida. L’échantillon écrit la télémétrie d’exécution dans /var/log/encrypt.log et prend en charge l’auto-suppression après avoir terminé sa routine.

Atténuation

Surveillez les hôtes ESXi pour l’utilisation inattendue de commandes administratives VMware, les événements d’arrêt de VM non planifiés, la création de /var/log/encrypt.log, et les artefacts tels que les marqueurs .vmdk.fastpass. Réduisez l’exposition en empêchant l’exécution ELF non fiable sur les hyperviseurs et en appliquant une liste blanche stricte pour les binaires et scripts autorisés à s’exécuter sur ESXi.

Réponse

Si une activité est détectée, isolez l’hôte ESXi affecté, arrêtez les processus VM pour contenir la propagation, et préservez les preuves forensiques (la charge utile ELF, encrypt.log, et les journaux d’hôte pertinents). Commencez la récupération à partir de clichés/ sauvegardes vérifiés propres, puis balayez pour des composants de ransomware supplémentaires et validez l’intégrité des fichiers critiques de l’hyperviseur.

Flux d’attaque

Exécution de simulation

Condition préalable : la vérification préliminaire de télémétrie & baseline doit être passée.

Rationalisation : cette section détaille l’exécution précise de la technique de l’adversaire (TTP) destinée à déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiées et viser à générer la télémétrie exacte attendue par la logique de détection.

  • Narration & Commandes d’Attaque :
    Un assaillant avec un accès administratif à l’hôte ESXi télécharge la charge utile LockBit 5.0 via le client vSphere. Le ransomware crée son répertoire de travail sous /var/tmp/.guestfs-0/appliance.d/root, écrit un journal de chiffrement dans /var/log/encrypt.log, et commence à parcourir tous les magasins de données VMFS (/vmfs/volumes/) pour chiffrer les fichiers de disque virtuel. Les commandes suivantes émulent ce comportement en utilisant des fichiers fictifs inoffensifs :

    1. Créez le répertoire de mise en scène du ransomware et un fichier VMFS « chiffré » factice.
    2. Écrivez une entrée de journal qui imite le statut de chiffrement de LockBit.
    3. Touchez un fichier au plus profond d’un volume VMFS pour reproduire une activité de chiffrement massive.
  • Script de test de régression :

    #!/usr/bin/env bash
    set -euo pipefail
    
    # 1️⃣ Créez le répertoire de mise en scène (simule le déballage de la charge utile LockBit)
    mkdir -p /var/tmp/.guestfs-0/appliance.d/root
    echo "Répertoire de mise en scène LockBit 5.0 créé" > /var/tmp/.guestfs-0/appliance.d/root/stage.txt
    
    # 2️⃣ Écrivez un journal de chiffrement (simule l'enregistrement d'activité de ransomware)
    LOGFILE="/var/log/encrypt.log"
    echo "$(date '+%Y-%m-%d %H:%M:%S') - Le chiffrement a commencé sur le datastore VMFS" | sudo tee -a "$LOGFILE"
    
    # 3️⃣ Simulez le chiffrement de fichiers en masse sur un volume VMFS
    DUMMY_VMFS_PATH="/vmfs/volumes/lockbit_simulation"
    mkdir -p "$DUMMY_VMFS_PATH"
    dd if=/dev/zero of="$DUMMY_VMFS_PATH/encrypted_dummy.vmdk" bs=1M count=10 status=none
    echo "Fichier VMFS factice créé pour émuler le chiffrement par ransomware" | sudo tee -a "$DUMMY_VMFS_PATH/notes.txt"
    
    echo "=== Simulation complète. ==="

    Exécutez le script en tant que root (ou via sudo) sur l’hôte ESXi. Les auditd watchers généreront open, write, et creat événements qui correspondent à tous les mots-clés dans la règle Sigma.

  • Commandes de nettoyage :

    #!/usr/bin/env bash
    set -euo pipefail
    
    sudo rm -rf /var/tmp/.guestfs-0/appliance.d/root
    sudo rm -f /var/log/encrypt.log
    sudo rm -rf /vmfs/volumes/lockbit_simulation
    
    echo "=== Nettoyage complet. ==="