SOC Prime Bias: Alto

06 Fev 2026 19:01
newspaper icon levelblue.com

19 Tons de LockBit5.0: Por Dentro do Último Ransomware Multiplataforma: Parte 1

Author Photo
Ruslan Mikhalov Chefe de Pesquisa de Ameaças na SOC Prime linkedin icon Seguir
19 Tons de LockBit5.0: Por Dentro do Último Ransomware Multiplataforma: Parte 1
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

O artigo revisa 19 amostras de ransomware LockBit 5.0 criadas para atingir Windows, Linux e VMware ESXi. Enfatiza a rápida criptografia usando ChaCha20, o design multiplataforma da família e o comportamento focado em ESXi que pode desligar máquinas virtuais antes de criptografar seus discos. O texto aborda etapas de execução, medidas anti-análise e os alvos de arquivos específicos do hipervisor que o malware prioriza durante o impacto.

Investigação

Pesquisadores realizaram análise estática das variantes ELF, extraindo caminhos embutidos, strings de comandos e interruptores de configuração. No ESXi, o malware utiliza ferramentas de gestão VMware (incluindo vim-cmd) para enumerar e desligar VMs antes da criptografia de disco, e inclui verificações anti-debug para ferramentas como valgrind e frida. A amostra escreve telemetria de execução para /var/log/encrypt.log e suporta autodeleção após concluir sua rotina.

Mitigação

Monitore hosts ESXi para uso inesperado de comandos administrativos VMware, eventos de desligamento não planejados de VMs, criação de /var/log/encrypt.log, e artefatos como marcadores .vmdk.fastpass. Reduza a exposição impedindo a execução de ELF não confiáveis em hipervisores e impondo listas de permissão estritas para binários e scripts permitidos em ESXi.

Resposta

Se atividade for detectada, isole o host ESXi afetado, interrompa os processos das VMs para conter a propagação e preserve as evidências forenses (o payload ELF, encrypt.log e logs relevantes do host). Inicie a recuperação a partir de snapshots/backups limpos verificados, em seguida, varra por componentes adicionais de ransomware e valide a integridade dos arquivos críticos do hipervisor.

“graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef technique fill:#e6e6e6 %% Action nodes validate_env[“<b>Ação</b> – <b>T1059.004 Shell Unix</b><br/><b>Descrição</b>: Validar ambiente ESXi usando Comando de Administração ESXi (T1675) e comandos shell Unix.”] class validate_env action enumerate_vms[“<b>Ação</b> – <b>T1673 Enumerar Máquinas Virtuais</b><br/><b>Descrição</b>: Listar máquinas virtuais presentes no host ESXi.”] class enumerate_vms action poweroff_vms[“<b>Ação</b> – <b>T1675 Comando de Administração ESXi</b><br/><b>Descrição</b>: Desligar máquinas virtuais alvo via vimu2011cmd.”] class poweroff_vms action anti_analysis[“<b>Ação</b> – Verificações Antiu2011análise<br/><b>Técnicas</b>: T1497.001 Verificações de Sistema, T1497.002 Verificações de Atividade do Usuário, T1622 Evasão de Depurador”] class anti_analysis action encrypt_vm[“<b>Ação</b> – Criptografar arquivos VM<br/><b>Técnica</b>: T1573.001 Canal Criptografado (Criptografia Simétrica) usando ChaCha20”] class encrypt_vm action obfuscate_files[“<b>Ação</b> – Obfuscate arquivos criptografados<br/><b>Técnica</b>: T1027.002 Embalagem de Software”] class obfuscate_files action archive_data[“<b>Ação</b> – Arquivar arquivos criptografados<br/><b>Técnica</b>: T1560.003 Arquivar via Método Personalizado”] class archive_data action wipe_free_space[“<b>Ação</b> – Opcionalmente limpar espaço livre e atividade do log”] class wipe_free_space action self_delete[“<b>Ação</b> – Limpeza<br/><b>Técnicas</b>: T1070.004 Exclusão de Arquivos, T1027.001 Preenchimento Binário, T1027.005 Remoção de Indicador de Ferramentas”] class self_delete action %% Tool nodes tool_esxi_admin[“<b>Ferramenta</b> – Comando de Administração ESXi<br/><b>Propósito</b>: Gerenciar configuração de host ESXi e ciclo de vida de VM.”] class tool_esxi_admin tool tool_vim_cmd[“<b>Ferramenta</b> – vimu2011cmd<br/><b>Propósito</b>: Utilitário de linha de comando ESXi para operações de VM.”] class tool_vim_cmd tool tool_chacha20[“<b>Ferramenta</b> – Módulo de Criptografia ChaCha20<br/><b>Propósito</b>: Executar criptografia simétrica rápida-u2011pass e completa-u2011pass.”] class tool_chacha20 tool tool_custom_archive[“<b>Ferramenta</b> – Arquivador Personalizado<br/><b>Propósito</b>: Embalar arquivos de VM criptografados em um formato de arquivo proprietário.”] class tool_custom_archive tool %% Connections validate_env u002du002d>|usa| tool_esxi_admin validate_env u002du002d>|executa| tool_vim_cmd validate_env u002du002d>|leva a| enumerate_vms enumerate_vms u002du002d>|usa| tool_vim_cmd enumerate_vms u002du002d>|leva a| poweroff_vms poweroff_vms u002du002d>|usa| tool_vim_cmd poweroff_vms u002du002d>|leva a| anti_analysis anti_analysis u002du002d>|executa| encrypt_vm encrypt_vm u002du002d>|usa| tool_chacha20 encrypt_vm u002du002d>|leva a| obfuscate_files obfuscate_files u002du002d>|leva a| archive_data archive_data u002du002d>|usa| tool_custom_archive archive_data u002du002d>|leva a| wipe_free_space wipe_free_space u002du002d>|leva a| self_delete self_delete u002du002d>|usa| tool_esxi_admin “

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação de Pré-voo de Telemetria e Base deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa de Ataque & Comandos:
    Um atacante com acesso administrativo ao host ESXi faz upload do payload LockBit 5.0 via cliente vSphere. O ransomware cria seu diretório de trabalho em /var/tmp/.guestfs-0/appliance.d/root, escreve um log de criptografia em /var/log/encrypt.log, e começa a atravessar todos os datastores VMFS (/vmfs/volumes/) para criptografar arquivos de disco virtual. Os seguintes comandos emulam esse comportamento usando arquivos dummy inofensivos:

    1. Crie o diretório de preparação do ransomware e um arquivo VMFS dummy ‘criptografado’.
    2. Escreva uma entrada de log que imita o status de criptografia do LockBit.
    3. Toque em um arquivo dentro de um volume VMFS para replicar atividade de criptografia em massa.

  • Script de Teste de Regressão:

    #!/usr/bin/env bash
set -euo pipefail

# 1️⃣ Criar diretório de preparação (simula desempacotamento de payload LockBit)
mkdir -p /var/tmp/.guestfs-0/appliance.d/root
echo "Diretório de preparação LockBit 5.0 criado" > /var/tmp/.guestfs-0/appliance.d/root/stage.txt

# 2️⃣ Escrever um log de criptografia (simula registro de atividade do ransomware)
LOGFILE="/var/log/encrypt.log"
echo "$(date '+%Y-%m-%d %H:%M:%S') - Criptografia iniciada no datastore VMFS" | sudo tee -a "$LOGFILE"

# 3️⃣ Simular criptografia em massa de arquivos em um volume VMFS
DUMMY_VMFS_PATH="/vmfs/volumes/lockbit_simulation"
mkdir -p "$DUMMY_VMFS_PATH"
dd if=/dev/zero of="$DUMMY_VMFS_PATH/encrypted_dummy.vmdk" bs=1M count=10 status=none
echo "Arquivo VMFS dummy criado para emular a criptografia de ransomware" | sudo tee -a "$DUMMY_VMFS_PATH/notes.txt"

echo "=== Simulação completa. ==="

    Execute o script como root (ou via sudo) no host ESXi. Os auditd observadores irão gerar eventos open, write, e creat que correspondem a todas as palavras-chave na regra Sigma.

  • Comandos de Limpeza:

    #!/usr/bin/env bash
set -euo pipefail

sudo rm -rf /var/tmp/.guestfs-0/appliance.d/root
sudo rm -f /var/log/encrypt.log
sudo rm -rf /vmfs/volumes/lockbit_simulation

echo "=== Limpeza completa. ==="

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente