SOC Prime Bias: Alto

06 Feb 2026 16:01 UTC

19 Sfumature di LockBit5.0, Dentro il Ransomware Multipiattaforma Più Recente: Parte 1

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
19 Sfumature di LockBit5.0, Dentro il Ransomware Multipiattaforma Più Recente: Parte 1
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riassunto

L’articolo esamina 19 campioni di ransomware LockBit 5.0 progettati per colpire Windows, Linux e VMware ESXi. Sottolinea la crittografia veloce utilizzando ChaCha20, il design multipiattaforma della famiglia e il comportamento focalizzato su ESXi che può spegnere le macchine virtuali prima di criptare i loro dischi. L’articolo illustra le fasi di esecuzione, le misure anti-analisi e i file specifici dell’hypervisor che il malware prende di mira durante l’impatto.

Investigazione

I ricercatori hanno condotto analisi statiche delle varianti ELF, estraendo percorsi incorporati, stringhe di comandi e interruttori di configurazione. Su ESXi, il malware sfrutta gli strumenti di gestione VMware (incluso vim-cmd) per enumerare e spegnere le VM prima della crittografia del disco, e include controlli anti-debug per strumenti come valgrind e frida. Il campione scrive la telemetria di esecuzione in /var/log/encrypt.log e supporta l’auto-eliminazione al termine della sua routine.

Mitigazione

Monitorare gli host ESXi per l’uso imprevisto dei comandi amministrativi di VMware, eventi di spegnimento non pianificati delle VM, creazione di /var/log/encrypt.log e artefatti come marker .vmdk.fastpass. Ridurre l’esposizione prevenendo l’esecuzione di ELF non affidati sugli hypervisor e applicando un severo controllo degli elenchi di permesso per i binari e gli script autorizzati a girare su ESXi.

Risposta

Se viene rilevata un’attività, isolare l’host ESXi interessato, fermare i processi di VM per contenere la diffusione e conservare le prove forensi (il payload ELF, encrypt.log e i log rilevanti dell’host). Avviare il recupero da snapshot/backup puliti e verificati, quindi eseguire una scansione per componenti ransomware aggiuntivi e convalidare l’integrità dei file critici dell’hypervisor.

Flusso dell’Attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo Preliminare di Telemetria & Baseline deve essere superato.

Motivazione: Questa sezione descrive l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO rispecchiare direttamente le TTP identificate e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.

  • Narrativa dell’Attacco & Comandi:
    Un attaccante con accesso amministrativo all’host ESXi carica il payload di LockBit 5.0 tramite il client vSphere. Il ransomware crea la sua directory di lavoro sotto /var/tmp/.guestfs-0/appliance.d/root, scrive un log di crittografia in /var/log/encrypt.log, e inizia a percorrere tutti i datastores VMFS (/vmfs/volumes/) per crittografare i file dei dischi virtuali. I seguenti comandi simulano quel comportamento usando file fittizi innocui:

    1. Crea la directory di staging del ransomware e un file VMFS “crittografato” fittizio.
    2. Scrivi una voce di log che imita lo stato di crittografia di LockBit.
    3. Toccare un file in profondità all’interno di un volume VMFS per replicare l’attività di crittografia in massa.
  • Script di Test di Regressione:

    #!/usr/bin/env bash
    set -euo pipefail
    
    # 1️⃣ Create staging directory (simulates LockBit payload unpack)
    mkdir -p /var/tmp/.guestfs-0/appliance.d/root
    echo "LockBit 5.0 staging directory created" > /var/tmp/.guestfs-0/appliance.d/root/stage.txt
    
    # 2️⃣ Write an encryption log (simulates ransomware activity logging)
    LOGFILE="/var/log/encrypt.log"
    echo "$(date '+%Y-%m-%d %H:%M:%S') - Encryption started on VMFS datastore" | sudo tee -a "$LOGFILE"
    
    # 3️⃣ Simulate bulk file encryption on a VMFS volume
    DUMMY_VMFS_PATH="/vmfs/volumes/lockbit_simulation"
    mkdir -p "$DUMMY_VMFS_PATH"
    dd if=/dev/zero of="$DUMMY_VMFS_PATH/encrypted_dummy.vmdk" bs=1M count=10 status=none
    echo "Dummy VMFS file created to emulate ransomware encryption" | sudo tee -a "$DUMMY_VMFS_PATH/notes.txt"
    
    echo "=== Simulation complete. ==="

    Eseguire lo script come root (o tramite sudo) sull’host ESXi. Gli auditd guarderanno generare open, scrivi, e creat eventi che corrispondono a tutte le parole chiave nella regola Sigma.

  • Comandi di Pulizia:

    #!/usr/bin/env bash
    set -euo pipefail
    
    sudo rm -rf /var/tmp/.guestfs-0/appliance.d/root
    sudo rm -f /var/log/encrypt.log
    sudo rm -rf /vmfs/volumes/lockbit_simulation
    
    echo "=== Cleanup complete. ==="