Trend Micro varoittaa: LockBitin uusi 5.0-versio on aiempaa vaarallisempi, koska se kykenee lataamaan ja ajamaan hyökkäyksiä samanaikaisesti Windows-, Linux- ja VMware ESXi -ympäristöissä. Tämä nostaa yksittäisen murron vaikutusalan työasemista hypervisor-tasolle asti. (theregister.com)

Mitä uutta LockBit 5.0 tuo?

  • Risti-alustainen hyökkäysketju: erilliset binäärit Windowsille, Linuxille ja ESXi:lle mahdollistavat yhtäaikaisen lunnaskiristyksen koko infrastruktuurissa. (theregister.com)
  • Raskaasti obfuskoitu & anti-analyysi: Windows-variantti lataa hyötykuorman DLL-reflektion kautta ja käyttää pakkausta sekä analyysinestotekniikoita; ESXi-versio tähtää virtuaalikoneiden salaukseen hypervisorista käsin. (www.trendmicro.com)
  • Satunnaiset 16-merkkiset tiedostopäätteet: salatut tiedostot saavat näennäissatunnaisen 16-merkkisen päätteensä, mikä vaikeuttaa palautusta ja havaintoa. (www.trendmicro.com)
  • ”Kulttuurilukko”: suoritus keskeytyy venäjän kielen/alueen havaitessaan – tyypillinen piirre itäeurooppalaisissa RaaS-perheissä. (www.trendmicro.com)

Vaikka jotkin tutkijat kutsuvat 5.0:aa ennemmin “hienosäädöksi” kuin suureksi harppaukseksi, ESXi-levysalauksen nopeutus ja puolustusten väistön parannukset nostavat kokonaisriskin merkittävästi. (CSO Online)

Tausta: Operation Cronos ei lopettanut LockBitia

Helmikuussa 2024 USA, UK ja kumppanit lamauttivat LockBitin infrastruktuuria (Operation Cronos). Ryhmä kuitenkin on järjestäytynyt uudelleen, ja 5.0:n myötä se yrittää elvyttää affiliate-ohjelmansa – mikä voi palauttaa iskun laajuuden nopeasti. (theregister.com)

Miksi tällä on väliä nyt?

  • Yhden haavoittuvuuden vipuvaikutus: pääsy yhteen järjestelmään voi johtaa työasemien, Linux-palvelinten ja koko ESXi-klusterin samanaikaiseen salaamiseen. Tämä tiivistää “murrosta salaukseen” -aikaa ja kaventaa puolustuksen reagointi-ikkunaa. (theregister.com)
  • Virtuaalivarautumisen haavoittuvuus: ESXi-isännän salaus lamauttaa kymmenet tai sadat VM:t kerralla, jolloin pelkkä varmuuskopioiden olemassaolo ei riitä, ellei palautuspolku ole aidosti eristetty. (www.trendmicro.com)

Mitä organisaatiot voivat tehdä heti

  1. Koveta ESXi: poista SSH oletusarvoisesti, rajaa hallintaliikenne, pidä vCenter & ESXi tuoreina, estä suoritusoikeudet data-storeissa, ja segmentoi hallintaverkot. (Perustuu 5.0:n ESXi-kohdennukseen.) (www.trendmicro.com)
  2. Erota varmuuskopiot fyysisesti/loogisesti: immuuttitilat (WORM), offline-kopiot ja säännölliset palautustestit – muuten 5.0:n nopea salaussykli ohittaa suojaukset. (theregister.com)
  3. Havaitse 5.0:n artefaktit: valvo 16-merkkisiä uusia tiedostopäätteitä ja ReadMeForDecrypt.txt -muistioita; tarkkaile EvtClearLog-kutsuja (lokien tyhjennys). (www.trendmicro.com)
  4. EDR/XDR kattavasti kaikissa kerroksissa: Windows, Linux ja hypervisor-tasoinen näkyvyys – nimenomaan risti-alustaisen ketjun takia. (theregister.com)
  5. Minimoi sivuttaisliike: AD-kovennus, palvelutilien vähimmät oikeudet, SMB-jaot ”need-to-know”, palomuurisegmentointi ja MFA hallintapintoihin. (Yleistetty suojausmalli suhteessa 5.0:n toimintalogiikkaan.) (theregister.com)

Faktalaatikko: LockBit 5.0 pähkinänkuoressa

  • Tyyppi: Ransomware-as-a-Service (RaaS)
  • Alustat: Windows, Linux, VMware ESXi (erilliset binäärit) (www.trendmicro.com)
  • Uutta: DLL-reflektio, vahva obfuskaatio, 16-merkkiset päätteet, lokien tyhjennys, nopeutettu ESXi-salaus (www.trendmicro.com)
  • Konteksti: Paluu Operation Cronosin (02/2024) jälkeen, affiliate-ohjelman “uudelleenkäynnistys” (theregister.com)
  • Kiista: Osa tutkijoista näkee evoluutiona, ei “sukupolven hypynä”, mutta riski kasvaa leveyssuunnan vuoksi. (CSO Online)

Lähteet

  • The Register: uutisraportti LockBit 5.0:n kyvykkyyksistä ja risti-alustaisuudesta. (theregister.com)
  • Trend Micro: tekninen erittely Windows/Linux/ESXi-binaareista, 16-merkkisistä päätteistä ja anti-analyysistä. (www.trendmicro.com)
  • DOJ: Operation Cronos – LockBit-infrastruktuurin kansainvälinen häirintä 20.2.2024. (justice.gov)
  • CSO Online: taustakommentti – 5.0 nähdään “hienosäätönä”, mutta ESXi-salaus on nopeutunut. (CSO Online)