Каждый сервер в офисе — потенциальная жертва. LockBit «нанял» Windows, Linux и VMware работать против вас одновременно

В Trend Micro сообщили о появлении новой версии одного из самых известных вымогательских семейств — LockBit 5.0. Исследователи считают её «значительно более опасной», чем предыдущие варианты, так как теперь вредонос способен одновременно атаковать Windows, Linux и виртуальную инфраструктуру VMware ESXi.

Анализ бинарных файлов, добытых после недавних атак, показал, что разработчики внедрили серьёзные усовершенствования в области сокрытия активности, усложнения анализа и мультиплатформенной работы. Исследователи подчёркивают: сильная обфускация и технические доработки всех модификаций делают LockBit 5.0 особенно разрушительным.

В версии для Windows вредонос загружает полезную нагрузку через DLL reflection и использует агрессивные методы упаковки, затрудняющие реверс-инжиниринг. Линуксовая сборка поддерживает передачу аргументов через командную строку, что позволяет злоумышленникам выбирать конкретные каталоги и типы файлов для шифрования. Вариант для ESXi нацелен на виртуализационные платформы: он блокирует работу виртуальных машин, шифруя их образы. Дополнительно все зашифрованные файлы получают случайное расширение из 16 символов, что делает восстановление ещё более сложным.

Trend Micro отмечает, что речь идёт не о постепенном обновлении, а о полном переходе на новый уровень. Комбинация модульной архитектуры, скрытных алгоритмов шифрования и кроссплатформенного охвата позволяет LockBit 5.0 парализовать инфраструктуру целых компаний — от рабочих станций и приложений до гипервизоров.

Разработчики LockBit продолжают придерживаться стратегии одновременных атак на все ключевые сегменты сети. Появление трёх вариантов сразу — для Windows, Linux и ESXi — подтверждает намерение злоумышленников выводить из строя весь ИТ-ландшафт организаций, включая базы данных, виртуальные окружения и серверы приложений.

Запуск LockBit 5.0 произошёл спустя несколько месяцев после масштабной операции правоохранительных органов против группировки. В феврале спецслужбы Великобритании и США в рамках «Operation Cronos» конфисковали серверы, домены и ключи расшифровки, попытавшись демонтировать инфраструктуру вымогателей. Однако киберпреступники пытаются вернуться: возобновлена партнёрская программа, обновлена платформа и, по данным исследователей, она стала более устойчивой к вмешательству извне.

Модель LockBit традиционно строится на сети партнёров, которые непосредственно проводят атаки с использованием базового фреймворка. В пятой версии условия для аффилиатов были изменены, что, по всей видимости, направлено на повторный набор операторов после удара правоохранителей.

Для защитников ситуация осложняется ещё и тем, что LockBit 5.0 умеет останавливать процессы средств безопасности и удалять резервные копии. А нацеливание на ESXi дополнительно угрожает восстановлению: блокировка виртуальных бэкапов делает откат инфраструктуры крайне ненадёжным.

В сценарии атаки злоумышленники способны одновременно поразить Windows, Linux и ESXi, тем самым сократив время между проникновением и полным шифрованием данных. Это практически не оставляет пространства для реакции и обнаружения, а поверхность атаки охватывает все слои — от операционных систем до виртуализации и бизнес-приложений.

Несмотря на то что «Operation Cronos» нанесла серьёзный удар по инфраструктуре группировки, Trend Micro констатирует: все три варианта LockBit 5.0 уже подтверждены и активно применяются. Организациям необходимо обеспечить многоуровневую защиту для разных платформ и уделить особое внимание виртуализационной среде. Эксперты подчёркивают: новая версия доказывает, что ни одна ОС и ни одна платформа больше не могут считаться защищёнными от современных кампаний вымогателей.

Остаётся вопрос, сумеет ли группировка восстановить свою репутацию и масштаб атак после февральских событий. Но уже сейчас очевидно: LockBit 5.0 знаменует начало эры кроссплатформенного, ориентированного на виртуализацию вымогательского ПО, с которым придётся считаться каждому корпоративному ИТ-отделу.