Самым опасным в мире вирусом признали новую версию вымогателя LockBit

Компания Trend Micro сообщила о появлении новой редакции программ-вымогателей под брендом LockBit — под обозначением LockBit 5.0, выпущенной в сентябре 2025 года в честь шестой годовщины активности группировки. По данным исследователей, в распоряжении злоумышленников оказались сборки для Windows, Linux и ESXi, что позволяет атаковать одновременно рабочие станции, серверы баз данных и платформы виртуализации.

Аналитики Trend Micro обнаружили исполняемый файл для Windows, а также подтвердили наличие образцов для Linux и ESXi. Специалисты отметили, что новая версия несёт заметные технические изменения и расширенные возможности настройки развертывания.

В интерфейсе для операторов появились подробные параметры для выбора каталогов шифрования, режимов работы и поведения заметок выкупа, что упрощает подготовку атак и повышает скорость их исполнения.

В LockBit 5.0 реализованы методы, затрудняющие обнаружение и криминалистический анализ. Злоумышленники убрали традиционные маркеры файлов зашифрованных данных, добавляют к файлам случайные 16-символьные расширения и применяют приёмы для подавления системных логов. В частности, вредонос модифицирует API EtwEventWrite, перезаписывая его инструкцией возврата, что блокирует ведение ряда событий Windows. Эти и другие меры усложняют восстановление и ускоряют переход к переговорам о выкупе.

Исследователи говорят, что LockBit 5.0 сохраняет модель взаимодействия с пострадавшими. После шифрования файлы получают подпись с требованием выкупа, а жертвы перенаправляются на специализированный сайт утечек, где функционирует чат для переговоров.

Версия для ESXi представляет собой критическое расширение возможностей группировки, так как единственный запуск полезной нагрузки на сервере виртуализации способен зашифровать сразу несколько виртуальных машин, что резко увеличивает масштаб ущерба.

В Trend Micro отмечают, что разработчики LockBit учли опыт прежних вмешательств и сделали упор на скорость и устойчивость к контрмерам. Группа продемонстрировала способность быстро эволюционировать, возвращаясь к работе после операций правоохранительных органов в начале 2024 года. При этом исследователи зафиксировали традиционную проверку геолокации: все варианты зловреда прекращают исполнение при обнаружении русской локали или российской геопозиции.