趋势科技对新的LockBit 5.0勒索软件变体发出警告，称其由于新获得的同时针对Windows、Linux和VMware ESXi环境的能力而比以往版本"显著更危险"。

在对从近期攻击中获取的源二进制文件进行技术分析时，趋势科技研究人员发现新版本在规避、混淆和跨平台能力方面有显著增强。研究人员警告称：“所有变体都采用重度混淆和技术改进，使LockBit 5.0比其前身危险得多。”

Windows变体现在通过DLL反射加载有效载荷，并采用激进的抗分析打包；Linux变体接受命令行指令来定制要攻击的目录和文件类型；ESXi版本则通过加密虚拟机来夺取虚拟化基础设施。此外，每个加密文件都被标记为随机的16字符扩展名，这一举措旨在使数据恢复更加困难。

这并非渐进式升级。趋势科技警告称，模块化架构、隐蔽加密例程和多操作系统目标的结合使LockBit 5.0有可能瘫痪整个企业堆栈，从终端到管理程序主机。

“Windows、Linux和ESXi变体的存在证实了LockBit持续的跨平台策略。这使得能够在整个企业网络中同时发起攻击，从工作站到托管数据库和虚拟化平台的关键服务器，“趋势科技表示。

LockBit 5.0版本的复活发生在今年早些时候一次戏剧性的执法拆除行动之后。二月份，英国和美国当局发起了"Operation Cronos"行动，没收服务器、域名基础设施和解密密钥以摧毁该组织。尽管有此行动，该勒索软件团伙似乎正试图卷土重来，在重新品牌化且看似加固的平台下重新激活其联盟计划。

研究人员指出，LockBit的复苏严重依赖其联盟网络：联盟使用核心框架执行攻击，使运营商能够扩大覆盖范围和灵活性。据报道，在5.0版本中，联盟激励模式已更新，反映了在遭受破坏后重新招募运营商的策略。

从防御者的角度来看，风险再高不过了。传统的预防工具可能会遇到困难，特别是因为LockBit 5.0可以终止安全进程并删除备份。针对ESXi的威胁进一步危及恢复，损害虚拟备份并使任何回退选项更加不可靠。

而从犯罪分子的角度来看？一次性利用Windows、Linux和ESXi的威胁行为者可以压缩从入侵到完全加密的时间，使防御者几乎没有检测和响应的余地。安全团队现在面临威胁表面在一次攻击活动中跨越虚拟化基础设施、操作系统和服务器应用程序的情况。

“尽管有Operation Cronos行动，但该组织背后的犯罪分子表现出韧性，现在确认了5.0版本的所有三个变体，“趋势科技表示。“组织必须确保部署全面的跨平台防御，特别关注保护虚拟化基础设施。LockBit 5.0的Windows、Linux和ESXi变体强化了一个事实：没有哪个操作系统或平台可以认为对现代勒索软件攻击是安全的。”

LockBit 5.0的部署将变得多广泛，或者该组织能否在早期受挫后重建其声誉，还有待观察。但目前，企业和安全团队必须假设勒索软件不再仅限于Windows机器。跨操作系统、虚拟化感知的勒索软件时代已经到来。