Исследователи из компании Trend Micro сообщили, что разработчики приложения-вымогателя LockBit выпустили новую версию. Она значительно увеличивает угрозу для корпоративных систем, атакуя одновременно несколько операционных сред. Подробный анализ образцов показал, что LockBit 5.0 разработан для одновременного поражения Windows, Linux и VMware ESXi. Это значительно усложняет локализацию и восстановление.
Каждый вариант LockBit 5.0 разработан для использования определённых уязвимостей целевой среды. Версия для Windows включает отражение DLL для доставки полезной нагрузки, а также слои упаковки для затруднения анализа. Это позволяет ей более эффективно обходить традиционные инструменты мониторинга.
Вариант для Linux позволяет злоумышленникам вводить настраиваемые параметры командной строки, выбирая определённые типы файлов и каталоги для шифрования. В средах ESXi вымогатель атакует саму инфраструктуру виртуализации, шифруя виртуальные машины и атакуя хосты уровня гипервизора. В каждом случае к файлам добавляются случайные 16-символьные расширения, усложняя расшифровку и увеличивая сроки восстановления.
Эксперты Trend Micro описывают LockBit 5.0 как полностью модульную архитектуру. Её компоненты, такие как процедуры шифрования, технологии обхода блокировок и платформенно-зависимые полезные нагрузки, работают совместно.
В феврале правоохранительные органы США и Великобритании провели операцию Cronos, конфисковав серверы и инфраструктуру LockBit, а также раздав жертвам ключи дешифрования в попытке ликвидировать группировку.
В последние месяцы разработчики LockBit появились снова, открыв свою партнёрскую платформу и привлекая партнёров финансовыми поощрениями в рамках обновлённой версии 5.0. Партнёрская модель остаётся центральной в деятельности LockBit. Операторы поставляют программы-вымогатели, а партнёры проводят атаки. Это обеспечивает широкомасштабное внедрение без прямого участия разработчиков.