СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 февраля
#ИБ#Инфра

LockBit 5.0: целенаправленная программа‑вымогатель против VMware ESXi

Анализ LockBit 5.0 показывает: это сложная кроссплатформенная программа-вымогатель, способная воздействовать на среды Windows, Linux и ESXi. Атака реализована по модели «программа-вымогатель как услуга» (RaaS), когда основная команда разработчиков управляет инфраструктурой вредоносного ПО, а филиалы занимаются непосредственным развертыванием на целевых системах. Такое разделение ролей позволяет LockBit эффективно масштабировать деятельность и укреплять репутацию как особо разрушительной программы-вымогателя.

Фокус на VMware ESXi: почему это важно

LockBit 5.0 особенно опасен для сред VMware ESXi. Вредоносное ПО может одновременно компрометировать и выводить из строя большое количество виртуальных машин, атакуя критичные для работы VM файлы. В частности, в шаблоне атаки отмечается прицельное уничтожение следующих типов файлов:

  • .vmdk — файлы виртуальных дисков;
  • .vmx — конфигурационные файлы виртуальных машин;
  • различные дополнительные файлы, необходимые для поддержания рабочего состояния VM.

Подобная направленность делает последствия атак особенно разрушительными для организаций, опирающихся на виртуализированные среды для критически важных сервисов.

Технические приёмы и методы уклонения

В версии для ESXi обнаружены приёмы антианализа: в 64‑битном исполняемом файле Linux злоумышленники опускают заголовки разделов ELF, что затрудняет анализ и обнаружение образца. Это одна из мер, повышающих устойчивость вредоноса к исследованию и автоматическим средствам детектирования.

Поток управления атакой начинается с проверки операционной системы — этот шаг гарантирует, что вредоносное ПО работает только на совместимом хосте. Отдельно отмечен 32‑битный вариант, отмеченный как LINUX Locker v1.06. Его присутствие, вероятно, связано с наследием кода или недосмотром, но и он нацелен на оркестрацию действий в средах ESXi.

Вредоносное ПО умеет взаимодействовать с инструментами управления VMware, например с vim-cmd, что облегчает перечисление виртуальных машин и манипуляции их состоянием — от остановки до модификации дисков и конфигураций.

Модель распространения и оперативное воздействие

LockBit 5.0 действует в рамках RaaS, где разработчики обеспечивают инфраструктуру и поддержку, а операторы — внедрение и эксплуатацию. Такое разделение ролей позволяет преступникам быстро масштабировать кампании и достигать высокой эффективности атак.

Вредоносное ПО целенаправленно планирует разрушение виртуальной инфраструктуры на детальном уровне, сосредотачиваясь на основных операционных файлах VM и стремясь нанести максимальный ущерб, включая продолжительные простои и потерю данных.

Выводы и практические рекомендации

Эволюция LockBit подтверждает: современные программы-вымогатели умеют адаптироваться под виртуализированные среды и использовать специализированные методы уклонения от обнаружения. Это усиливает требования к кибербезопасности организаций, использующих виртуальную инфраструктуру.

Рекомендуемые меры защиты:

  • Регулярно проверять и тестировать стратегии резервного копирования, включая оффлайн‑копии конфигураций и виртуальных дисков;
  • Ограничить доступ к инструментам управления виртуализацией (vim-cmd и др.) по принципу наименьших привилегий и многофакторной аутентификации;
  • Разделять сети и изолировать гипервизоры от пользовательских и интернет‑сегментов;
  • Мониторить подозрительную активность на хостах ESXi, включая аномальные обращения к файлам .vmdk и .vmx;
  • Использовать инструменты обнаружения и реагирования, способные анализировать поведении бинарников с модифицированными ELF‑заголовками;
  • Обновлять гипервизоры и сопутствующее ПО, устраняя известные уязвимости, которые могут облегчить распространение вредоноса.

Эта серия атак подчеркивает: защита виртуальных сред требует не только традиционных мер, но и специальной проактивной подготовки — от резервного копирования до контроля доступов и мониторинга низкоуровневого поведения систем.

Организациям, опирающимся на виртуализацию, следует пересмотреть свои стратегии безопасности с учётом того, что угрозы вроде LockBit 5.0 нацелены не только на конечные рабочие станции, но и на инфраструктуру, обеспечивающую весь бизнес‑сервис.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: