LockBit 5.0 Rransomware is terug met aanval op Windows, Linux én ESXi
De beruchte ransomwaregroep LockBit is na een internationale verstoring eerder dit jaar weer opgedoken met een nieuwe, aanzienlijk gevaarlijkere versie: LockBit 5.0. Onderzoekers van Trend Research hebben de bronbestanden geanalyseerd en waarschuwen dat de nieuwe varianten geavanceerde verhullingstechnieken, anti-analysefuncties en naadloze cross-platform mogelijkheden bezitten, waarmee ze hele bedrijfsnetwerken kunnen lamleggen.
Doelwit: Het volledige bedrijfsnetwerk
De ontdekking van de 5.0-versie bevestigt de voortdurende cross-platform strategie van LockBit. De dreiging richt zich niet langer op één besturingssysteem, maar kan in één aanval tegelijkertijd Windows-, Linux- en ESXi-systemen treffen. Dit stelt de ransomware in staat om te infiltreren in alle lagen van een bedrijfsnetwerk, inclusief gevirtualiseerde omgevingen.
De nieuwe versie komt met drie belangrijke varianten:
- Windows-variant: Deze maakt gebruik van zware obfuscatie (verhulling) en packing. De payload wordt geladen via DLL-reflectie en implementeert geavanceerde anti-analyse technieken zoals het omzeilen van Event Tracing for Windows (ETW) en het beëindigen van beveiligingsdiensten.
- Linux-variant: Deze behoudt vergelijkbare functionaliteit als zijn voorgangers, maar met verbeterde opdrachtregelopties om specifieke mappen en bestandstypen aan te vallen.
- ESXi-variant: Een speciale variant die zich specifiek richt op de VMware ESXi-virtualisatie-infrastructuur. Dit is een kritieke ontwikkeling, aangezien het de ransomware in staat stelt om in één keer gehele virtuele machine-infrastructuren te versleutelen.
Technische verbeteringen maken 5.0 significanter
De technische verbeteringen maken LockBit 5.0 veel gevaarlijker dan zijn voorgangers. Onderzoek toont aan dat de nieuwe versies gebruikmaken van gerandomiseerde 16-karakter bestandsextensies en, net als eerdere versies, Russischtalige systemen vermijden door middel van geolocatiecontroles. Na de versleuteling zorgt de ransomware bovendien voor het wissen van de eventlogs om sporen van de aanval uit te wissen.
De analyse bevestigt dat 5.0 een duidelijke evolutie is van de oorspronkelijke codebase, met gedeelde kenmerken van LockBit 4.0, wat aangeeft dat de groep actief hun infrastructuur heeft herbouwd na de ontwrichting door wetshandhaving in februari 2024 (Operatie Cronos).
Beveiligingsbedrijven benadrukken het belang van snelle detectie en het patchen van kritieke kwetsbaarheden om deze geavanceerde, cross-platform dreiging het hoofd te bieden.
