LockBit 5.0全面解析:ESXi加密加速与检测规避技术突破

本文深入分析LockBit 5.0勒索软件的技术特性,包括ESXi虚拟化环境加密加速、反检测技术改进,以及安全专家提供的防护建议。文章还探讨了该勒索软件团伙的最新动态和防御策略。

LockBit 5.0:更快的ESXi驱动器加密,更强的检测规避能力

研究人员称这是早期版本的进化而非飞跃,但仍建议首席安全官更好地保护ESXi主机。

LockBit团伙发布了其勒索软件的新版本,提升了ESXi驱动器加密速度。然而,一位曾与该团伙高级成员交谈过的安全研究人员表示,LockBit 5.0更多是“微调一些基本功能……和大量宣传”,而非能力的重大飞跃。

2023年,美国Analyst1公司的首席安全策略师Jon DiMaggio在一系列报告中披露,他如何花费数月时间开发多个在线身份以获取该团伙运营的访问权限,然后让领导者透露其运作细节。他在采访中表示,尽管2024年2月“Operation Cronos”行动摧毁了该团伙大部分IT基础设施,但并未使这款勒索软件即服务业务停摆,这大大损害了该团伙在犯罪分子中的信誉。

因此,发布新版本以及扩大与附属机构的利润分享,是恢复部分声誉的一种方式。

DiMaggio表示,LockBit 5.0“并非大规模工程。它确实加密更快,这将使订阅的犯罪分子的攻击更顺畅一些”。他补充说:“它在规避检测方面更好——但每个新的勒索软件变种都是如此。但成就是LockBit一直擅长自我品牌推广,这就是为什么这个新版本有些噪音。”

DiMaggio是针对Trend Micro本周关于LockBit 5.0的报告发表评论的,该报告包含Windows、Linux和VMware ESXi变种。

LockBit 5.0的新特性

在其分析中,Trend Micro发现:

  • Windows二进制文件使用重度混淆和打包:通过DLL反射加载其有效载荷,同时实施反分析技术,如事件追踪 for Windows(ETW)修补和终止安全服务;
  • Linux变种保持类似功能,具有针对特定目录和文件类型的命令行选项;
  • ESXi变种专门针对VMware虚拟化环境,设计用于在单次攻击中加密整个虚拟机基础设施。

对ESXi驱动器的损害可能对组织造成重大影响。Trend Micro指出,单个ESXi主机通常运行数十个关键服务器。在虚拟机管理程序级别加密可以同时使许多业务服务瘫痪。

Trend Micro表示,这些新的LockBit版本共享关键行为,包括随机16字符文件扩展名、通过地理位置检查避免俄语系统,以及加密后的事件日志清除。5.0版本还与LockBit 4.0共享代码特征,包括相同的哈希算法和API解析方法,确认这是原始代码库的进化而非模仿。

Trend Micro威胁情报副总裁Jon Clay表示:“勒索软件行为者及其附属机构如今经常改变其TTPs(战术、技术和程序),以领先于防御和执法。组织需要考虑采用更新的网络安全模型,通过实施主动方法而非传统的检测和响应被动方法来领先于攻击。实施基于风险的方法,能够发现其整个攻击面,识别和优先处理与这些攻击面相关的风险,并启用可以最小化其风险的缓解控制,将大大改善其安全状况。”

在2024年2月LockBit基础设施被摧毁后,一名据称是管理员的俄罗斯国民在美国被起诉,但仍在逃。

五天后,该团队恢复了新服务器,并为订阅者恢复了管理面板。“但幕后发生的是所有人都抛弃了他们。顶级附属机构不信任他们,不愿与他们合作。为LockBit工作真的很困难。情况变得如此糟糕,他(领导者)开始免费提供访问权限,”DiMaggio说,并指出订阅费用从10,000美元暴跌至700美元。“他开始撒谎并在其黑暗网站发布虚假受害者”以显示该团伙的影响力并未减弱。

今年早些时候,有人从LockBit的附属面板数据库泄露了一个文件,其中包含超过4,400条受害者谈判消息的细节,这更是雪上加霜。

即使是现在被LockBit击中的少数受害者也不像以前那样支付赎金。DiMaggio引用了一个今年的案例,受害者仅支付800美元以恢复访问权限。

“对该团伙来说,这不是正常业务,”DiMaggio说。“那些年入1亿美元的日子早已一去不复返。但他正在试图重建。这就是这次努力的目的。他试图恢复信任并吸引人们回来为他工作,这就是为什么他试图改善与附属机构的利润分享,并使恶意软件运行得更快一些。”

首席安全官现在应该做什么?

当被问及首席安全官在对抗勒索软件方面犯了什么错误时,DiMaggio表示,许多人仍然认为攻击始于网络钓鱼和社会工程。然而,如今团伙更专注于通过修补不良的公开可用服务器和应用程序,以及通过暴力破解或窃取的凭证进入应用程序来破坏IT基础设施。

Trend Micro表示,为了更好地保护ESXi驱动器,首席安全官应将虚拟化视为关键并遵循以下指南:

  • 将ESXi主机从直接互联网暴露中移除。管理控制台应位于VPN后面,并由基于角色的强访问控制支持。
  • 保持ESXi打补丁并仅使用受支持的版本。
  • 要求任何访问vCenter管理控制台的人使用多因素身份验证登录。
  • 禁用未使用的服务如SSH,并遵循vSphere安全配置指南和VMware勒索软件防御指南。
  • 让团队搜寻虚拟机管理程序和横向移动攻击前兆,如异常管理员登录、大规模进程终止或快照操作。
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次