19 Sfumature di LockBit5.0, Dentro il Ransomware Multipiattaforma Più Recente: Parte 1
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
L’articolo esamina 19 campioni di ransomware LockBit 5.0 progettati per colpire Windows, Linux e VMware ESXi. Sottolinea la crittografia veloce utilizzando ChaCha20, il design multipiattaforma della famiglia e il comportamento focalizzato su ESXi che può spegnere le macchine virtuali prima di criptare i loro dischi. L’articolo illustra le fasi di esecuzione, le misure anti-analisi e i file specifici dell’hypervisor che il malware prende di mira durante l’impatto.
Investigazione
I ricercatori hanno condotto analisi statiche delle varianti ELF, estraendo percorsi incorporati, stringhe di comandi e interruttori di configurazione. Su ESXi, il malware sfrutta gli strumenti di gestione VMware (incluso vim-cmd) per enumerare e spegnere le VM prima della crittografia del disco, e include controlli anti-debug per strumenti come valgrind e frida. Il campione scrive la telemetria di esecuzione in /var/log/encrypt.log e supporta l’auto-eliminazione al termine della sua routine.
Mitigazione
Monitorare gli host ESXi per l’uso imprevisto dei comandi amministrativi di VMware, eventi di spegnimento non pianificati delle VM, creazione di /var/log/encrypt.log e artefatti come marker .vmdk.fastpass. Ridurre l’esposizione prevenendo l’esecuzione di ELF non affidati sugli hypervisor e applicando un severo controllo degli elenchi di permesso per i binari e gli script autorizzati a girare su ESXi.
Risposta
Se viene rilevata un’attività, isolare l’host ESXi interessato, fermare i processi di VM per contenere la diffusione e conservare le prove forensi (il payload ELF, encrypt.log e i log rilevanti dell’host). Avviare il recupero da snapshot/backup puliti e verificati, quindi eseguire una scansione per componenti ransomware aggiuntivi e convalidare l’integrità dei file critici dell’hypervisor.
Flusso dell’Attacco
Rilevamenti
Linux/ESXi – Controllo di massa delle VM tramite vim-cmd (tramite linea di comando)
Visualizza
Possibile Indicatore di Anti-Debugging tramite Controllo TracerPid (tramite linea di comando)
Visualizza
Rilevamento dell’Attività del Ransomware LockBit 5.0 su ESXi [Evento File Linux]
Visualizza
Rilevamento dell’Attività del Ransomware LockBit 5.0 su ESXi [Creazione Processo Linux]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Preliminare di Telemetria & Baseline deve essere superato.
Motivazione: Questa sezione descrive l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO rispecchiare direttamente le TTP identificate e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrativa dell’Attacco & Comandi:
Un attaccante con accesso amministrativo all’host ESXi carica il payload di LockBit 5.0 tramite il client vSphere. Il ransomware crea la sua directory di lavoro sotto/var/tmp/.guestfs-0/appliance.d/root, scrive un log di crittografia in/var/log/encrypt.log, e inizia a percorrere tutti i datastores VMFS (/vmfs/volumes/) per crittografare i file dei dischi virtuali. I seguenti comandi simulano quel comportamento usando file fittizi innocui:- Crea la directory di staging del ransomware e un file VMFS “crittografato” fittizio.
- Scrivi una voce di log che imita lo stato di crittografia di LockBit.
- Toccare un file in profondità all’interno di un volume VMFS per replicare l’attività di crittografia in massa.
-
Script di Test di Regressione:
#!/usr/bin/env bash set -euo pipefail # 1️⃣ Create staging directory (simulates LockBit payload unpack) mkdir -p /var/tmp/.guestfs-0/appliance.d/root echo "LockBit 5.0 staging directory created" > /var/tmp/.guestfs-0/appliance.d/root/stage.txt # 2️⃣ Write an encryption log (simulates ransomware activity logging) LOGFILE="/var/log/encrypt.log" echo "$(date '+%Y-%m-%d %H:%M:%S') - Encryption started on VMFS datastore" | sudo tee -a "$LOGFILE" # 3️⃣ Simulate bulk file encryption on a VMFS volume DUMMY_VMFS_PATH="/vmfs/volumes/lockbit_simulation" mkdir -p "$DUMMY_VMFS_PATH" dd if=/dev/zero of="$DUMMY_VMFS_PATH/encrypted_dummy.vmdk" bs=1M count=10 status=none echo "Dummy VMFS file created to emulate ransomware encryption" | sudo tee -a "$DUMMY_VMFS_PATH/notes.txt" echo "=== Simulation complete. ==="Eseguire lo script come root (o tramite sudo) sull’host ESXi. Gli
auditdguarderanno generareopen,scrivi, ecreateventi che corrispondono a tutte le parole chiave nella regola Sigma. -
Comandi di Pulizia:
#!/usr/bin/env bash set -euo pipefail sudo rm -rf /var/tmp/.guestfs-0/appliance.d/root sudo rm -f /var/log/encrypt.log sudo rm -rf /vmfs/volumes/lockbit_simulation echo "=== Cleanup complete. ==="