SOC Prime Bias: Alto

06 Feb 2026 16:01 UTC

19 Tons de LockBit5.0: Por Dentro do Último Ransomware Multiplataforma: Parte 1

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
19 Tons de LockBit5.0: Por Dentro do Último Ransomware Multiplataforma: Parte 1
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

O artigo revisa 19 amostras de ransomware LockBit 5.0 criadas para atingir Windows, Linux e VMware ESXi. Enfatiza a rápida criptografia usando ChaCha20, o design multiplataforma da família e o comportamento focado em ESXi que pode desligar máquinas virtuais antes de criptografar seus discos. O texto aborda etapas de execução, medidas anti-análise e os alvos de arquivos específicos do hipervisor que o malware prioriza durante o impacto.

Investigação

Pesquisadores realizaram análise estática das variantes ELF, extraindo caminhos embutidos, strings de comandos e interruptores de configuração. No ESXi, o malware utiliza ferramentas de gestão VMware (incluindo vim-cmd) para enumerar e desligar VMs antes da criptografia de disco, e inclui verificações anti-debug para ferramentas como valgrind e frida. A amostra escreve telemetria de execução para /var/log/encrypt.log e suporta autodeleção após concluir sua rotina.

Mitigação

Monitore hosts ESXi para uso inesperado de comandos administrativos VMware, eventos de desligamento não planejados de VMs, criação de /var/log/encrypt.log, e artefatos como marcadores .vmdk.fastpass. Reduza a exposição impedindo a execução de ELF não confiáveis em hipervisores e impondo listas de permissão estritas para binários e scripts permitidos em ESXi.

Resposta

Se atividade for detectada, isole o host ESXi afetado, interrompa os processos das VMs para conter a propagação e preserve as evidências forenses (o payload ELF, encrypt.log e logs relevantes do host). Inicie a recuperação a partir de snapshots/backups limpos verificados, em seguida, varra por componentes adicionais de ransomware e valide a integridade dos arquivos críticos do hipervisor.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação de Pré-voo de Telemetria e Base deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa de Ataque & Comandos:
    Um atacante com acesso administrativo ao host ESXi faz upload do payload LockBit 5.0 via cliente vSphere. O ransomware cria seu diretório de trabalho em /var/tmp/.guestfs-0/appliance.d/root, escreve um log de criptografia em /var/log/encrypt.log, e começa a atravessar todos os datastores VMFS (/vmfs/volumes/) para criptografar arquivos de disco virtual. Os seguintes comandos emulam esse comportamento usando arquivos dummy inofensivos:

    1. Crie o diretório de preparação do ransomware e um arquivo VMFS dummy ‘criptografado’.
    2. Escreva uma entrada de log que imita o status de criptografia do LockBit.
    3. Toque em um arquivo dentro de um volume VMFS para replicar atividade de criptografia em massa.
  • Script de Teste de Regressão:

    #!/usr/bin/env bash
    set -euo pipefail
    
    # 1️⃣ Criar diretório de preparação (simula desempacotamento de payload LockBit)
    mkdir -p /var/tmp/.guestfs-0/appliance.d/root
    echo "Diretório de preparação LockBit 5.0 criado" > /var/tmp/.guestfs-0/appliance.d/root/stage.txt
    
    # 2️⃣ Escrever um log de criptografia (simula registro de atividade do ransomware)
    LOGFILE="/var/log/encrypt.log"
    echo "$(date '+%Y-%m-%d %H:%M:%S') - Criptografia iniciada no datastore VMFS" | sudo tee -a "$LOGFILE"
    
    # 3️⃣ Simular criptografia em massa de arquivos em um volume VMFS
    DUMMY_VMFS_PATH="/vmfs/volumes/lockbit_simulation"
    mkdir -p "$DUMMY_VMFS_PATH"
    dd if=/dev/zero of="$DUMMY_VMFS_PATH/encrypted_dummy.vmdk" bs=1M count=10 status=none
    echo "Arquivo VMFS dummy criado para emular a criptografia de ransomware" | sudo tee -a "$DUMMY_VMFS_PATH/notes.txt"
    
    echo "=== Simulação completa. ==="

    Execute o script como root (ou via sudo) no host ESXi. Os auditd observadores irão gerar eventos open, write, e creat que correspondem a todas as palavras-chave na regra Sigma.

  • Comandos de Limpeza:

    #!/usr/bin/env bash
    set -euo pipefail
    
    sudo rm -rf /var/tmp/.guestfs-0/appliance.d/root
    sudo rm -f /var/log/encrypt.log
    sudo rm -rf /vmfs/volumes/lockbit_simulation
    
    echo "=== Limpeza completa. ==="