LockBit 5.0 勒索软件瞄准 Windows、Linux 和 ESXi 系统
LockBit 5.0 版本的发布标志着其勒索软件即服务(RaaS)运营的重大升级。LockBit 首次提供全面支持的 Windows、多种 Linux 发行版及 VMware ESXi 虚拟机管理程序二进制文件,使攻击者能同时入侵终端设备、服务器和虚拟化主机。
跨平台研究
LockBit 5.0的多操作系统载荷允许入侵者部署单次攻击即可同时加密:
- Windows 工作站及服务器
- 基于Linux的服务及数据库服务器
- ESXI 虚拟机管理程序中运行的重要虚拟机
这一站式攻击的能力极其有效的缩短了攻击生效时间,并且可以同时瘫痪生产环境及虚拟化层
后 Cronos 时代的韧性
尽管在2024年2月的Cronos行动中,摧毁了LockBit基础的设施,但是LockBit的附属组织依然迅速迁移到新的命令与控制通信通道中。5.0 版本的发布凸显了该组织重建与创新的能力,将勒索软件即服务的复杂程度提升至前所未有的高度。
更加强大的规避与加密
LockBit 5.0 包括:
- 内存运行,避开扫盘检测
- 高级进程镂空技术来逃逸EDR的检测
- 直接针对 ESXi 主机上 VMDK 文件的并行加密例程 这些改进不仅加速了加密过程,还阻碍了事件响应和基于备份的恢复措施。
多平台防御策略
组织必须采取覆盖所有受影响环境的纵深防御措施:
- 网络分段与访问控制
- 将虚拟机管理网络与普通局域网隔离。
- 实施虚拟化管理员的权限最小化原则。
- 终端与服务器防护
- 在 Windows 和 Linux 主机上部署新一代防病毒/EDR 代理。
- 为内存代码执行和进程异常启用行为检测。
- Hypervisor Security 虚拟机监控程序安全
- 定期为 ESXi 主机打补丁;启用锁定模式并配置安全启动
- 监控 vCenter 日志和 ESXi shell 活动中的异常文件访问行为
- 严格的备份与恢复机制
- 对关键虚拟机和文件共享保持离线、不可变备份
- 定期测试恢复流程以确保可恢复性
- 威胁情报与补丁管理
- 订阅勒索软件即服务(RaaS)威胁情报源,获取早期入侵指标
- 不仅要对操作系统和应用程序应用安全更新,还需及时更新虚拟机监控程序固件和管理工具。
- 紧急对 ESXi、Linux 和 Windows 资产进行漏洞扫描。
- 审计拥有虚拟机监控程序及目录服务访问权限的特权账户。
- 部署更新的终端防护措施,并加强网络分段隔离。
LockBit 5.0 的跨平台攻击能力使其成为目前最危险的勒索软件变种之一。必须进行协调、多层面的安全更新,才能抵御这一快速演变的勒索软件即服务威胁。
关于作者
评论0次