Появлась новая версия  LockBit 5.0

Исследователи считают её «значительно более опасной», чем предыдущие варианты, так как теперь вредонос способен одновременно атаковать Windows, Linux и виртуальную инфраструктуру VMware ESXi. Об этом пишет Securitylab.

Анализ файлов, добытых после недавних атак, показал, что разработчики внедрили серьёзные усовершенствования в области сокрытия активности, усложнения анализа и мультиплатформенной работы. Исследователи подчёркивают: сильная обфускация и технические доработки всех модификаций делают LockBit 5.0 особенно разрушительным.

В версии для Windows вредонос загружает полезную нагрузку через DLL reflection и использует агрессивные методы упаковки, затрудняющие реверс-инжиниринг. Линуксовая сборка поддерживает передачу аргументов через командную строку, что позволяет злоумышленникам выбирать конкретные каталоги и типы файлов для шифрования. Вариант для ESXi нацелен на виртуализационные платформы: он блокирует работу виртуальных машин, шифруя их образы. Дополнительно все зашифрованные файлы получают случайное расширение из 16 символов, что делает восстановление ещё более сложным.

Trend Micro отмечает, что речь идёт не о постепенном обновлении, а о полном переходе на новый уровень. Комбинация модульной архитектуры, скрытных алгоритмов шифрования и кроссплатформенного охвата позволяет LockBit 5.0 парализовать инфраструктуру целых компаний — от рабочих станций и приложений до гипервизоров.

Разработчики LockBit продолжают придерживаться стратегии одновременных атак на все ключевые сегменты сети. Появление трёх вариантов сразу — для Windows, Linux и ESXi — подтверждает намерение злоумышленников выводить из строя весь ИТ-ландшафт организаций, включая базы данных, виртуальные окружения и серверы приложений.