Các nhà nghiên cứu an ninh mạng tại Trend Micro đã phát hiện một biến thể LockBit 5.0 ransomware mới, nguy hiểm, nhắm mục tiêu vào các hệ thống Windows, Linux và VMware ESXi. Biến thể này sử dụng các kỹ thuật che giấu nâng cao và khả năng đa nền tảng tinh vi, đại diện cho một bước tiến đáng kể trong các mối đe dọa mạng từ mã độc tống tiền.

Tiến hóa và Khả năng Đa Nền tảng của LockBit 5.0

Mục tiêu Đa dạng và Đặc điểm Hành vi chung

LockBit 5.0 đánh dấu một sự phát triển quan trọng trong các mối đe dọa ransomware, nổi bật với các biến thể chuyên biệt dành cho ba nền tảng máy tính thiết yếu.

Tất cả các biến thể đều chia sẻ những đặc điểm hành vi cốt lõi, được thiết kế để tối đa hóa thiệt hại đồng thời né tránh các hệ thống phát hiện.

Mã độc tống tiền này tạo ra các phần mở rộng tệp gồm 16 ký tự ngẫu nhiên cho các tệp đã được mã hóa, gây phức tạp hóa nỗ lực khôi phục.

Tương tự như các phiên bản LockBit trước đây, nó bao gồm các biện pháp bảo vệ địa chính trị, tự động chấm dứt thực thi khi phát hiện cài đặt ngôn ngữ hoặc định vị địa lý của Nga.

Các Kỹ thuật Chống Phân tích và Né tránh Phát hiện

LockBit 5.0 triển khai nhiều kỹ thuật chống phân tích pháp y (anti-forensics).

Điển hình là việc vá API EtwEventWrite để vô hiệu hóa Windows Event Tracing và xóa nhật ký sự kiện sau quá trình mã hóa.

Mã độc này cũng chấm dứt có hệ thống các dịch vụ bảo mật bằng cách so sánh các tên dịch vụ đã được hash với các danh sách được mã hóa cứng (hardcoded).

Phân tích Mã nguồn và Sự khác biệt với LockBit 4.0

Dấu hiệu Tiến hóa liên tục trong Dòng Mã độc

Phân tích so sánh giữa LockBit 4.0 và 5.0 cho thấy sự tái sử dụng mã đáng kể.

Điều này cho thấy đây là sự tiến hóa của mã độc hiện có chứ không phải là một quá trình viết lại hoàn toàn.

Cả hai phiên bản đều chia sẻ các thuật toán hashing và phương pháp phân giải API giống hệt nhau, xác nhận tính liên tục trong gia đình ransomware LockBit.

Cải tiến Giao diện và Khai thác trên Windows

Phiên bản Windows của LockBit 5.0 có giao diện người dùng được cải thiện với định dạng rõ ràng và các lệnh trợ giúp chi tiết.

Điều này cung cấp cho kẻ tấn công các tùy chọn tùy chỉnh mở rộng, bao gồm các chế độ mã hóa, nhắm mục tiêu thư mục và cài đặt hiển thị hoạt động.

Khả năng Né tránh và Tăng tốc Độ Mã hóa

LockBit 5.0 thể hiện một số cải tiến kỹ thuật so với các phiên bản tiền nhiệm.

Các dấu hiệu lây nhiễm truyền thống đã được loại bỏ, quá trình mã hóa diễn ra nhanh hơn và khả năng né tránh được nâng cao.

Kỹ thuật che giấu mạnh mẽ trên tất cả các biến thể làm chậm đáng kể quá trình phát triển chữ ký bảo mật, khiến việc phát hiện trở nên khó khăn hơn cho các nhóm an ninh trên toàn cầu.

Sự tồn tại của các biến thể Windows, Linux và ESXi khẳng định chiến lược đa nền tảng tinh vi của LockBit, cho phép các cuộc tấn công đồng thời trên toàn bộ mạng lưới doanh nghiệp.

Rủi ro và Tác động đối với Môi trường Doanh nghiệp

Nguy cơ đặc biệt từ Mục tiêu ESXi

Biến thể ESXi chuyên dụng đặt ra những rủi ro bảo mật đặc biệt cho môi trường doanh nghiệp.

Các máy chủ ESXi thường lưu trữ nhiều máy ảo, là xương sống của cơ sở hạ tầng ảo hóa.

Các cuộc tấn công thành công có thể mã hóa toàn bộ môi trường ảo hóa, khuếch đại đáng kể tiềm năng gián đoạn kinh doanh và yêu cầu tiền chuộc trên khắp các tổ chức toàn cầu.

Để hiểu rõ hơn về các kỹ thuật và phân tích chuyên sâu về LockBit 5.0 ransomware, bạn có thể tham khảo báo cáo chi tiết từ Trend Micro tại: Trend Micro Report on LockBit 5.0.

Chiến lược Phòng thủ và Khuyến nghị An ninh Mạng

Phòng thủ toàn diện trước các mối đe dọa Ransomware

Các tổ chức phải triển khai các hệ thống phòng thủ đa nền tảng toàn diện.

Đặc biệt cần chú ý bảo vệ cơ sở hạ tầng ảo hóa và các hệ thống kinh doanh quan trọng.

Mặc dù hoạt động thực thi pháp luật Operation Cronos vào tháng 2 năm 2024 đã làm gián đoạn cơ sở hạ tầng của LockBit, nhóm này vẫn cho thấy khả năng phục hồi đáng kể thông qua bản phát hành mới nhất này.

Mô hình ransomware-as-a-service (RaaS) tiếp tục phát triển nhanh chóng, khiến LockBit 5.0 trở nên nguy hiểm hơn đáng kể so với các phiên bản trước.

Điều này đòi hỏi các bản cập nhật bảo mật toàn diện và ngay lập tức để tăng cường an ninh mạng và đối phó hiệu quả với biến thể mới nhất của LockBit 5.0 ransomware.