LockBit 5.0: анализ Linux x64 и ESXi-вариантов вымогателя

Новый анализ программы-вымогателя LockBit 5.0 концентрируется на её варианте для Linux x64, который, по выводам исследователей, во многом повторяет поведение ранее изученного образца для ESXi. Эксперты отмечают сложную, продуманную архитектуру вредоносного ПО, направленную на уклонение от обнаружения и затруднение обратного проектирования.

Ключевые технические особенности

Анализируемый образец работает на архитектуре x86-64 и демонстрирует следующие технические черты:

• Динамическая компоновка кода и отсутствие заголовков разделов ELF, что затрудняет статический анализ;
• Механизмы защиты от отладки, препятствующие обратному проектированию;
• Кроссплатформенные возможности: архитектура и набор приёмов позволяют варианту работать в различных аппаратных и виртуализованных средах;
• Единый рабочий процесс для образцов Linux и ESXi — признаки общих основных функциональных модулей и методов развертывания.

Мотивы и операционная цель

Операционная цель LockBit 5.0 — создание масштабных сбоев в корпоративной среде. Вредоносное ПО нацелено на критические компоненты инфраструктуры:

• узлы виртуализации (ESXi);
• серверные рабочие нагрузки;
• системы аутентификации и управления доступом.

Атакующие стремятся подорвать доступность ключевых сервисов, что может привести к серьёзным сбоям бизнес‑операций и потере данных.

Рекомендации по реагированию и снижению рисков

Для эффективного снижения рисков и сдерживания распространения угрозы рекомендуется рассматривать активные инциденты с ESXi и Linux как комплексную угрозу инфраструктуре, а не как изолированные случаи.

Ключевые шаги реагирования:

• Немедленно изолировать затронутые системы от сети;
• Отозвать привилегии и учетные данные, позволяющие латеральное перемещение внутри сети;
• Сохранить критически важные данные и снимки состояния перед началом процедур очистки;
• Рассматривать инциденты как потенциально масштабные, планировать по сценарию широкомасштабной компрометации.

Особые действия для ESXi / vCenter

• Собрать support bundles и журналы аудита аутентификации (authentication logs);
• Защитить и сохранить моментальные снимки (snapshots) основных узлов и управленческих рабочих станций;
• Оценить целостность гипервизора и конфигурационных файлов.

Особые действия для Linux

• Фиксировать деревья процессов, активные файлы, сетевые подключения и соответствующие журналы;
• Защитить учетные данные и ключи, поскольку исполнение ransomware часто свидетельствует о более глубокой компрометации;
• Соблюдать порядок сохранения артефактов для последующего криминалистического анализа.

Вывод

LockBit 5.0 представляет собой стратегически спроектированный инструмент, ориентированный на создание максимального ущерба корпоративным инфраструктурам. Его архитектура и охват платформ подчёркивают серьёзность угрозы: злоумышленники готовы эксплуатировать уязвимости в организационной инфраструктуре, атаковать виртуализационные слои и сервисы, обеспечивающие критические бизнес‑функции.

Организациям рекомендовано рассматривать инциденты с ESXi и Linux как всеобъемлющие угрозы и действовать быстро — изоляция, отзыв прав и сохранение артефактов должны быть приоритетом.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.