Trend Micro (Trend Research) publie une analyse technique de la nouvelle version « LockBit 5.0 », apparue après l’opération policière Cronos de 2024, confirmant des variantes Windows, Linux et ESXi et une nette montée en sophistication.
-
Le groupe poursuit une stratégie cross‑platform: variantes dédiées pour Windows, Linux et VMware ESXi. Les échantillons partagent des comportements clés: extensions de 16 caractères aléatoires pour les fichiers chiffrés, éviction des systèmes russophones (langue/géolocalisation), effacement des journaux d’événements post‑chiffrement, et un écosystème RaaS avec note de rançon et site de fuite incluant un chat de négociation. 🚨
-
Côté Windows, la souche est fortement obfusquée et packée, charge son payload par DLL reflection, patch l’API EtwEventWrite (byte 0xC3) pour neutraliser l’ETW, termine des services de sécurité via comparaison de hachages d’une liste codée en dur (63 valeurs), puis efface les journaux via EvtClearLog. L’interface CLI est enrichie (modes visible/invisible, options de ciblage/exclusion, gestion des notes, filtrage, temporisation). Le chiffrage n’ajoute pas de marqueurs classiques mais inclut la taille originale du fichier dans le footer; les extensions aléatoires de 16 caractères compliquent la récupération.
-
Sur Linux, l’outil reprend l’ergonomie et les fonctionnalités, avec journalisation détaillée (fichiers chiffrés, dossiers exclus) et bilan de fin d’exécution (compte et taille des fichiers chiffrés). Les fichiers chiffrés reçoivent également des extensions aléatoires.
-
La variante ESXi vise spécifiquement l’infrastructure de virtualisation VMware ESXi, avec paramètres CLI adaptés aux VMs (dossiers/VMX, etc.). Un unique hôte compromis peut entraîner le chiffrement de dizaines/centaines de VMs, maximisant l’impact métier. 🖥️
-
Comparatif 4.0 vs 5.0: fortes similarités de fonctions de hachage et de résolution dynamique d’API, indiquant une évolution du code 4.0, pas une réécriture. Trend Vision One annonce détections, IoCs et requêtes de chasse disponibles pour les clients.
IoCs et TTPs
- IoCs observables dans l’article:
- Note de rançon: ReadMeForDecrypt.txt
- Motif de renommage: extension aléatoire de 16 caractères hexadécimaux (regex: [a-f0-9]{16})
- Requêtes de chasse (extraits):
- « eventSubId: 106 AND objectFilePath: /.[a-f0-9]{16}$/ AND NOT srcFilePath: /.+.[a-f0-9]{16}$/ »
- « eventSubId: 101 AND objectFilePath: ReadMeForDecrypt.txt »
- TTPs clés:
- Obfuscation/packing du binaire, loader en mémoire via DLL reflection
- Anti‑analyse: patch ETW (EtwEventWrite -> 0xC3), terminaison de services de sécurité (liste hachée), effacement des logs (EvtClearLog)
- Stratégie cross‑platform (Windows/Linux/ESXi) et chiffrement de VMs
- Évitement Russie (langue/géolocalisation)
- Extensions aléatoires de 16 caractères et suppression de marqueurs d’infection
- Interface CLI riche (ciblage/exclusion, modes, délais)
Il s’agit d’une analyse de menace technique visant à documenter l’évolution, les capacités et les IoCs/TTPs de LockBit 5.0.
🧠 TTPs et IOCs détectés
TTP
Obfuscation/packing du binaire, loader en mémoire via DLL reflection, Anti-analyse: patch ETW (EtwEventWrite -> 0xC3), terminaison de services de sécurité (liste hachée), effacement des logs (EvtClearLog), Stratégie cross-platform (Windows/Linux/ESXi) et chiffrement de VMs, Évitement Russie (langue/géolocalisation), Extensions aléatoires de 16 caractères et suppression de marqueurs d’infection, Interface CLI riche (ciblage/exclusion, modes, délais)
IOC
Note de rançon: ReadMeForDecrypt.txt, Motif de renommage: extension aléatoire de 16 caractères hexadécimaux (regex: [a-f0-9]{16})
🔗 Source originale : https://www.trendmicro.com/en_us/research/25/i/lockbit-5-targets-windows-linux-esxi.html