Biến thể LockBit mới tỏ ra nguy hiểm nhất từ ​​trước đến nay, nhắm vào Windows, Linux và VMware ESXi

Mã cực kỳ bí mật, ba nền tảng chiến lược và một mô hình liên kết được tái khởi động: đây chính là hỗn hợp bùng nổ được tạo ra bởi LockBit 5.0. Cảnh báo như một lưỡi dao chém: phần mềm tống tiềngiờ đây tấn công Windows , Linuxvà VMware ESXi chỉ trong một đòn duy nhất. Sau chiến dịch cảnh sát “Cronos” tạm thời chặn đứng nhóm này, những kẻ tấn công đã trở lại, lợi hại hơn. DLL được tinh chỉnh kỹ lưỡng, mã hóa linh hoạt, các tiện ích mở rộng ngẫu nhiên… phiên bản mới xóa dấu vết, vô hiệu hóa sao lưu và chặn các trình quản lý ảo. Các nhóm SOC đang đếm từng giây: thời gian trung bình giữa lúc xâm nhập và mã hóa giảm xuống dưới hai mươi phút. Trong môi trường căng thẳng này, mỗi phút mà kẻ tấn công giành được đều đáng giá hàng triệu đô la. Ưu tiên hàng đầu? Hiểu cơ chế của phần mềm độc hại để đóng lỗ hổng trước khi điều tồi tệ nhất xảy ra. LockBit 5.0: Vũ khí định nghĩa lại cuộc tấn công mạng đa hệ điều hành Các nhà nghiên cứu của Trend Micro gọi đây là một “bước nhảy vọt thế hệ”. Trên Windows, mã độc được đưa vào thông qua phản chiếu DLL, được che giấu bởi một trình đóng gói tùy chỉnh. Trên Linux, một dòng lệnh sẽ chỉ định các phần mở rộng và thư mục mục tiêu; hoàn hảo để tấn công máy chủ web mà không ảnh hưởng đến cơ sở dữ liệu hệ thống và ẩn mình lâu hơn. Về phía VMware ESXi, mã nhị phân sẽ mã hóa các kho dữ liệu và khiến bất kỳ máy ảo nào không hoạt động. Mỗi tệp được gán một hậu tố ngẫu nhiên gồm 16 ký tự: tạm biệt các tập lệnh khôi phục nhanh. Kiến trúc vẫn mang tính mô-đun: các chi nhánh chọn thành phần hữu ích, lắp ráp cuộc tấn công và khởi chạy tất cả chỉ bằng vài cú nhấp chuột trên cổng Tor đã được tân trang. Trong phòng máy, đèn trên giá đỡ tắt ngúm: một công ty xây dựng của Pháp vừa trải qua điều này, mất ba ngày sản xuất. Tại sao lại nhắm mục tiêu đồng thời vào Windows, Linux và ESXi? Các đội xe lai thống trị các trung tâm dữ liệu: một ERP chạy Windows, một cơ sở dữ liệu PostgreSQL chạy Linux, hàng chục máy ảo doanh nghiệp được quản lý bởi ESXi

. Bằng cách làm tê liệt bộ ba này,

LockBit vô hiệu hóa lõi hoạt động: máy trạm khách hàng, ứng dụng máy chủ và lớp ảo hóa. Kết quả: không còn ticket, không còn CRM, không còn bản sao lưu đáng tin cậy. Băng nhóm này lợi dụng nợ kỹ thuật của các công ty, thường không thể vá tất cả các cấp độ với cùng tốc độ. Ý tưởng rất đơn giản: một khoản tiền chuộc duy nhất, nhưng ba đòn bẩy áp lực. Sau vụ tấn công vào một bệnh viện châu Á vào tháng 3 năm 2025, việc khởi động lại hoàn toàn tốn 4 triệu euro, cao hơn nhiều so với số tiền cuối cùng được yêu cầu. Sự chênh lệch chi phí này thúc đẩy quyết định đôi khi gây tử vong là đầu hàng trước sự tống tiền.Mưu đồ này hấp dẫn các chi nhánh: một bộ công cụ duy nhất để tiếp cận toàn bộ phổ tần. Những kẻ tuyển dụng của băng nhóm hứa hẹn mức hoa hồng 80%, một kỷ lục trên thị trường bất hợp pháp. Lời chào hàng lan truyền trên các diễn đàn ngầm, và các ứng dụng đổ về bất chấp sự truy lùng của cảnh sát. Né tránh và Kiên trì: Vũ khí Mới Chống Lại An ninh Mạng Lá chắn đầu tiên sụp đổ là EDR.LockBit 5.0 quét các quy trình bảo mật, vô hiệu hóa chúng, sau đó xóa nhật ký. Thuật toán mã hóa nhảy từ luồng này sang luồng khác để bỏ qua hạn ngạch CPU và trì hoãn cảnh báo. TrênLinux

, một dropper nhị phân biên dịch các khóa cần thiết ngay lập tức, tránh các chữ ký tĩnh. Mã cũng đa ngôn ngữ: Rust, C++ và Go cùng tồn tại, khiến việc dịch ngược càng tốn thời gian hơn. Các nhà phân tích đề cập đến “bộ đếm thời gian hộp cát”: nếu môi trường thực thi không có hoạt động của con người,

phần mềm độc hại sẽ ngủ. Trên máy tính thực, mã hóa được kích hoạt bằng lần nhấn phím đầu tiên. Logic ngờ vực này chặn nhiều hộp cát đám mây. Đồng thời, ransomware sẽ đánh cắp dữ liệu nhạy cảm trước khi mã hóa, gây áp lực gấp đôi thông qua mối đe dọa rò rỉ.Tác động đến doanh nghiệp: Khi bảo mật CNTT trở thành vấn đề sống còn Nhà máy hóa chất hư cấu “ChemProd” minh họa thiệt hại. Một tối thứ Sáu, một kỹ thuật viên mở một báo giá giả trong Outlook. Đến thứ Hai, ERP, hệ thống giám sát bồn chứa và cổng thông tin khách hàng đã được mã hóa. Các máy ảo ESXi là điểm khôi phục duy nhất; chúng đã ngừng hoạt động. Thiệt hại vượt quá số lượng tồn kho trong tuần: phạt hợp đồng, ngừng hoạt động dây chuyền sản xuất và danh tiếng bị tổn hại. Công ty bảo hiểm từ chối bảo hiểm một khu vực rộng lớn như vậy nếu không có bằng chứng xác thực đa yếu tố trước đó. Những người ra quyết định nhận ra rằng bảo mật CNTT không còn chỉ là một khoản chi phí nữa mà là điều kiện tiên quyết để giao hàng. Trong khu vực công, phương trình tương tự cũng đe dọa các trường học và cộng đồng: một cổng thông tin đăng ký ngừng hoạt động gây khó khăn cho hàng nghìn người dùng và buộc các quan chức dân cử phải công khai tiết lộ thông tin. Bài học khó quên: nếu không có mạng lưới đáng tin cậy, quá trình chuyển đổi số sẽ sụp đổ. Các CISO đang tăng cường số lượng các bài kiểm tra khôi phục trong ngày để đo lường khả năng phục hồi thực sự, chứ không phải khả năng phục hồi được viết trong một kế hoạch liên tục chưa từng được mô phỏng. Hành động ngay lập tức để phá vỡ chuỗi tấn công Đối mặt với làn sóng này, chiến lược dựa trên ba trục. Đầu tiên, phân vùng: cô lập bảng điều khiển quản trị ESXi, phân đoạn VLAN và tắt SSH theo mặc định. Sau đó, củng cố: bật Credential Guard trên Windows, xác minh ACL trên các chia sẻ NFS Linux, giám sát khóa API. Cuối cùng, chuẩn bị cho tình huống xấu nhất: sao lưu ngoại tuyến không thể thay đổi, kiểm tra khôi phục hàng quý và một kế hoạch giao tiếp được xây dựng sẵn. Các ngân hàng lớn của Pháp đã tự động hóa việc luân chuyển các ảnh chụp nhanh được mã hóa và lưu trữ chúng trên băng từ để thoát khỏi sự phụ thuộc vào đám mây. Các doanh nghiệp vừa và nhỏ có thể học theo công thức này: một NAS không được cắm điện vào cuối tuần vẫn là biện pháp phòng thủ đơn giản nhất chống lại tin tặc. Gartner dự đoán rằng đến năm 2026, 70% các sự cố nghiêm trọng sẽ được giảm thiểu thông qua phương pháp tiếp cận kết hợp này. Thời gian đã bắt đầu đếm ngược: nếu không thích ứng nhanh chóng,

LockBit

có thể áp đặt một tiêu chuẩn mới về khủng bố kỹ thuật số.

Nguồn: www.theregister.com