SOC Prime Bias: Високий

06 Feb 2026 16:01 UTC

19 Відтінків LockBit5.0, всередині найновішого міжплатформного програмного забезпечення-вимагача: Частина 1

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
19 Відтінків LockBit5.0, всередині найновішого міжплатформного програмного забезпечення-вимагача: Частина 1
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Стаття розглядає 19 зразків програми-вимагача LockBit 5.0, створених для ураження Windows, Linux і VMware ESXi. Вона підкреслює швидкість шифрування із використанням ChaCha20, кросплатформенний дизайн сімейства та поведінку, орієнтовану на ESXi, яка може вимикати віртуальні машини перед шифруванням їхніх дисків. Стаття проходить через етапи виконання, заходи з протидії аналізу та специфічні цілі для гіпервізора, які зловмисне програмне забезпечення віддає перевагу під час атаки.

Розслідування

Дослідники провели статичний аналіз ELF-варіантів, витягуючи вбудовані шляхи, командні строки та конфігураційні перемикачі. Для ESXi програма використовує інструменти керування VMware (включаючи vim-cmd) для переліку та вимкнення ВМ перед шифруванням диску і включає перевірки на виявлення налагоджувачів для таких інструментів, як valgrind та frida. Зразок записує телеметрію виконання в /var/log/encrypt.log і підтримує самовидалення після завершення процедури.

Послаблення

Моніторити хости ESXi на несподіване використання адміністративних команд VMware, непланові події вимкнення ВМ, створиення /var/log/encrypt.log та артефактів, таких як маркери .vmdk.fastpass. Зменшити ризик, заборонивши виконання ненадійних ELF на гіпервізорах та впроваджуючи суворий білого спискування для виконуваних бінарних файлів та скриптів на ESXi.

Реакція

Якщо активність виявлена, ізолюйте постраждалий хост ESXi, зупиніть процеси ВМ для обмеження розповсюдження та збережіть криміналістичні докази (ELF-панкет, encrypt.log та відповідні логи хоста). Почніть відновлення з узгоджених, чистих знімків/бекапів, потім проведіть перевірку на наявність додаткових компонентів програми-вимагача та підтвердіть цілісність критичних файлів гіпервізора.

Потік атаки

Виконання симуляції

Попередня умова: Телеметрія та базова перевірка перед польотом повинні бути пройдені.

Мотивація: У цьому розділі детально описується точне виконання техніки супротивника (TTP), розробленої для тригерної правила виявлення. Команди та сюжетні лінії ПОВИННІ прямо відображати ідентифіковані TTP і націлені на генерування точної телеметрії, що очікується за допомогою логіки виявлення.

  • Сюжет атаки та команди:
    Нападник з адміністративним доступом до хоста ESXi завантажує завантаження LockBit 5.0 через клієнт vSphere. Програма-вимагач створює свою робочу директорію під /var/tmp/.guestfs-0/appliance.d/root, записує журнал шифрування до /var/log/encrypt.log, і починає обхід усіх сховищ даних VMFS (/vmfs/volumes/) для шифрування файлів віртуальних дисків. Наступні команди імітують цю поведінку з використанням безпечних фіктивних файлів:

    1. Створити каталог інсценування програми-вимагача та фіктивний файл VMFS “зашифрований”.
    2. Записати в журнал запис, що імітує статус шифрування LockBit.
    3. Торкніться файлу глибоко всередині обсягу VMFS, щоб відтворити активність масового шифрування.
  • Скрипт регресійного тестування:

    #!/usr/bin/env bash
    set -euo pipefail
    
    # 1️⃣ Створити каталог інсценування (імітація розпаку завантаження LockBit)
    mkdir -p /var/tmp/.guestfs-0/appliance.d/root
    echo "Створено каталог інсценування LockBit 5.0" > /var/tmp/.guestfs-0/appliance.d/root/stage.txt
    
    # 2️⃣ Записати журнал шифрування (імітація ведення журналу активності програми-вимагача)
    LOGFILE="/var/log/encrypt.log"
    echo "$(date '+%Y-%m-%d %H:%M:%S') - Шифрування розпочато на сховищі даних VMFS" | sudo tee -a "$LOGFILE"
    
    # 3️⃣ Імітація масового шифрування файлів на обсязі VMFS
    DUMMY_VMFS_PATH="/vmfs/volumes/lockbit_simulation"
    mkdir -p "$DUMMY_VMFS_PATH"
    dd if=/dev/zero of="$DUMMY_VMFS_PATH/encrypted_dummy.vmdk" bs=1M count=10 status=none
    echo "Створено фіктивний файл VMFS для емулірування шифрування програми-вимагача" | sudo tee -a "$DUMMY_VMFS_PATH/notes.txt"
    
    echo "=== Симуляція завершена. ==="

    Запустити скрипт як root (або через sudo) на хості ESXi. Системи аудиту auditd створять відкриття, запис, і створення події, що відповідають усім ключовим словам у правилі Sigma.

  • Команди очищення:

    #!/usr/bin/env bash
    set -euo pipefail
    
    sudo rm -rf /var/tmp/.guestfs-0/appliance.d/root
    sudo rm -f /var/log/encrypt.log
    sudo rm -rf /vmfs/volumes/lockbit_simulation
    
    echo "=== Очищення завершено. ==="