Investigadores han analizado la versión más reciente del ransomware LockBit 5.0, concluyendo que representa un salto significativo en sofisticación. El nuevo binario ha sido mejorado con una ofuscación más fuerte, técnicas anti-análisis y, lo más preocupante, soporte multiplataforma para Windows, Linux y ESXi. Este avance refuerza la estrategia de LockBit de apuntar a la infraestructura virtualizada para maximizar el impacto.
Lo que hace diferente a LockBit 5.0
LockBit 5.0 no es una reescritura, sino una evolución de su base de código, adoptando métodos que lo hacen más evasivo y flexible para los atacantes:
- Ofuscación Avanzada: La versión para Windows carga su carga útil (payload) a través de DLL reflexión y está empaquetada para dificultar el análisis estático.
- Evasión de Análisis: Aplica técnicas anti-análisis al parchear funciones de Event Tracing for Windows (ETW) para deshabilitarlas y terminar servicios de seguridad antes de comenzar el cifrado. Además, borra los registros del sistema para ocultar sus huellas.
- Ataque Multiplataforma:
- Linux: Conserva muchas de las capacidades de la versión Windows, con parámetros flexibles para elegir y omitir directorios.
- ESXi: La variante para VMware ESXi ataca directamente los entornos de virtualización, lo que permite a los atacantes cifrar decenas o cientos de máquinas virtuales a la vez.
- Geofencing: El ransomware evita ejecutarse en sistemas con configuraciones de idioma o geolocalización rusas, una práctica común en grupos de ransomware de Europa del Este.
- Flexibilidad de comandos: Ofrece a los atacantes una gran flexibilidad en el campo, con parámetros que permiten:
- Seleccione o elimine directorios específicos para el cifrado (-d, -b).
- Operar en un modo invisible (sin cambiar extensiones visibles ni notas de rescate visibles) usando la opción -i.
- Cifrar localmente, por red o limpiar el espacio libre (-m, -w).
Riesgos y la gravedad del ataque
El principal riesgo radica en el soporte para entornos virtuales. Comprar un solo host ESXi puede resultar en el cifrado masivo de toda la infraestructura virtual de una organización.
La ofuscación y la eliminación de marcas tradicionales (como el uso de extensiones de archivo cifrado de 16 caracteres aleatorios) dificultan que las herramientas de detección basadas en firmas identifiquen la amenaza temprano. Esto obliga a los equipos de seguridad a depender de la detección conductual.
Recomendaciones
- Aislar el acceso de administración de ESXi (por ejemplo, mediante VPN o salto de bastión).
- Asegurar el host ESXi con controles de acceso estrictos y segmentación de red.
- Realiza respaldos regulares y fuera de línea que el ransomware no pueda alcanzar.
- Verifique que los respaldos no estén montados ni accesibles desde el entorno principal de producción.
- Implemente alertas de EDR/XDR para detectar comportamientos anómalos, como procesos que intentan parchear ETW o que terminan servicios de seguridad.
- Monitorea la modificación masiva de archivos y la aparición de archivos con extensiones aleatorias de 16 caracteres.
