СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.09.2025
#Dev#ИБ#Инфра

LockBit 5.0: мультиплатформенная угроза с ESXi и обфускацией

LockBit 5.0: мультиплатформенная угроза с ESXi и обфускацией

Источник: www.trendmicro.com

Новая версия печально известного рансомвера LockBit — LockBit 5.0 — не является революцией, но представляет собой существенное эволюционное развитие, которое повышает гибкость и масштабность атак. Отдельные технические улучшения в сочетании с кроссплатформенной реализацией делают её особенно опасной для корпоративных сетей и сред виртуализации.

Ключевые технические нововведения

Разработчики LockBit 5.0 сосредоточились на повышении устойчивости к обнаружению и на удобстве управления для злоумышленников. Среди основных изменений:

  • Усовершенствованные методы обфускации и антианализа, которые усложняют разработку сигнатур для традиционных средств обнаружения.
  • Кроссплатформенная функциональность: единые интерфейсы и логика для Windows, Linux и ESXi, позволяющие использовать одинаковые инструменты на разных ОС.
  • Улучшенный пользовательский интерфейс в Windows-версии с параметром -h, обеспечивающим быстрый доступ к операционным командам.
  • Гибкая настройка шифрования: выбор целевых каталогов, режимов (включая невидимый и подробный), а также точная конфигурация параметров шифрования.
  • Оптимизации, направленные на ускорение процесса шифрования и удаление «маркерных» признаков заражения, что повышает эффективность атаки и снижает шанс раннего обнаружения.

Версии для Linux и ESXi — угроза масштаба

Версия для Linux воспроизводит интерфейс командной строки и функциональность Windows-версии, что предоставляет злоумышленникам единообразный набор инструментов. Особенно тревожна отдельная сборка для ESXi — критически важной части инфраструктуры виртуализации VMware. Такой таргетированный вариант способен шифровать целые виртуализованные среды за одно выполнение, что повышает потенциал ущерба для организаций.

Сравнение с LockBit 4.0

По результатам аналитического сопоставления, LockBit 5.0 следует рассматривать как последовательное развитие предыдущей версии, а не как полную переработку кода:

  • Большая часть базового кода унаследована от LockBit 4.0.
  • Сохранены идентичные алгоритмы хэширования, используемые для операций со строками — например, для разрешения API и идентификации сервисов.
  • Динамическое разрешение API и другие архитектурные подходы подтверждают Итеративный (iterative) характер развития: фокус на расширении и усилении существующих возможностей.

«5.0 — это эволюционное обновление, использующее большую часть базового кода своего предшественника, а не полный пересмотр», — отмечают авторы отчёта.

Практические последствия для организаций

Совокупность перечисленных улучшений меняет профиль угрозы:

  • Расширение векторной поверхности: от конечных рабочих станций до критичных серверов и виртуальных сред.
  • Увеличение вероятности успешного шифрования больших сегментов инфраструктуры при одной атаке, особенно в средах VMware ESXi.
  • Усложнение выявления и блокировки атак из‑за усовершенствованной обфускации и удаления маркеров компрометации.
  • Большая оперативная гибкость злоумышленников благодаря параметризации и унифицированным инструментам под разные ОС.

Рекомендации

В свете появления LockBit 5.0 организациям следует пересмотреть и усилить меры защиты:

  • Обновить политики резервного копирования и протестировать планы восстановления для виртуализованных сред, в частности ESXi.
  • Повысить внимательность к индикаторам компрометации, которые не полагаются на очевидные маркеры; развивать поведенческий мониторинг.
  • Интегрировать контроль целевых каталогов и мониторинг необычных операций шифрования и доступа к API.
  • Актуализировать средства защиты под мультиплатформенные угрозы и отладить межплатформенное реагирование.

Вывод

LockBit 5.0 не ломает прежнюю модель, но делает её более универсальной и опасной. Кроссплатформенность, таргетирование ESXi и улучшенные методы скрытности делают новую версию серьёзной угрозой для организаций любого масштаба. Главная задача для служб безопасности — адаптировать стратегии обнаружения и восстановления под реальность, в которой злоумышленники оперируют единым, гибким инструментарием на нескольких операционных системах.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: