LockBit 5.0：针对Windows、Linux和VMware ESXi的新型跨平台威胁

LockBit网络犯罪团伙的韧性再次得到证实，研究人员发现了其勒索软件的新版本：LockBit 5.0。这款勒索软件似乎更加危险，仍然能够针对Windows、Linux和VMware ESXi虚拟化基础设施。

LockBit 5.0：跨平台威胁

LockBit 5.0是这一可怕勒索软件的最新迭代，紧随2024年12月最初发现的LockBit 4.0版本。自2.0版本（2021年）以来，LockBit勒索软件一直保持着同时针对企业所有系统的习惯：工作站、文件服务器和虚拟化环境。

据Trend Micro报告，LockBit 5.0版本于9月初在该勒索软件团伙成立六周年之际发布。“Trend Research发现了一个公开可用的二进制文件，并开始进行分析，首先发现了Windows变体，随后确认了LockBit 5.0的Linux和ESXi变体的存在。”

正如您所理解的，LockBit 5.0可以通过不同的变体加密运行Windows、Linux或VMware ESXi的机器数据。这使其能够攻击企业网络中绝大多数联网机器。

Trend Micro的研究人员警告说：“这使得攻击者能够同时攻击整个企业网络，从工作站到托管数据库和虚拟化平台的关键服务器，ESXi变体专门设计用于瘫痪整个虚拟基础设施。”

Windows变体依赖高级混淆和压缩技术，特别是通过DLL反射注入有效负载，这极大地复杂化了静态分析。它还搭载了高级反分析技术。

Linux变体具有类似能力，此外还有命令行选项，可以针对特定目录或文件类型。

ESXi变体则设计用于加密在管理程序上运行的所有虚拟机。

值得注意的是，所有这些变体都具有共同特征，使检测和事件后响应变得复杂：

Trend Research团队进行的技术分析显示，LockBit 5.0并非完全重构，而是4.0版本的"演进"。源代码存在许多相似之处，特别是在哈希算法和API解析方法方面。

不幸的是，该网络犯罪团伙似乎决心继续按照勒索软件即服务（RaaS）模式传播其恶意软件，这也是其知名度和特别活跃的根源。尽管当局定期干扰LockBit的活动（特别是通过Cronos行动），但这个网络犯罪团伙总是能够重新回到舞台中央。

Trend Micro研究人员认为，LockBit 5.0明显比先前版本更危险：“这些新变体的重要混淆显著延迟了检测签名的开发，而技术改进，包括删除感染标记、更快的加密和增强的逃避能力，使LockBit 5.0明显比其前身更加危险。”