Selon PolySwarm, cette analyse détaille l’évolution de LockBit 5.0, un rançongiciel plus sophistiqué et multi‑plateforme qui vise des environnements Windows, Linux et VMware ESXi avec des techniques avancées d’obfuscation et d’anti‑analyse.

LockBit 5.0 présente une architecture cross‑plateforme permettant des attaques unifiées à l’échelle de l’entreprise. La variante ESXi est jugée particulièrement préoccupante car elle peut compromettre des infrastructures de virtualisation entières. Le code partage des similarités avec LockBit 4.0, confirmant une évolution itérative, et le malware intègre des « garde‑fous géopolitiques ». 🧬

Points techniques clés et TTPs:

  • Obfuscation lourde via packing et déchiffrement des binaires PE en mémoire par DLL reflection (évasion de l’analyse statique).
  • Patching d’ETW: modification de l’API EtwEventWrite avec des instructions 0xC3 pour désactiver la journalisation d’événements Windows.
  • Arrêt de services de sécurité via comparaisons de noms hachés pour contourner les contrôles défensifs.
  • Post‑chiffrement: purge des journaux via l’API EvtClearLog et ajout d’une extension aléatoire de 16 caractères aux fichiers.
  • Métadonnées: taille originale du fichier stockée dans le pied de page des fichiers chiffrés.

Variantes et options:

  • Windows et Linux partagent des fonctionnalités similaires; la variante Linux propose des options en ligne de commande pour cibler des répertoires spécifiques. 🐧
  • La variante ESXi inclut des paramètres dédiés à la virtualisation, renforçant l’impact potentiel sur les hôtes et VM. 🖥️☁️

Héritage et continuité: toutes les variantes réutilisent des algorithmes de hachage identiques à LockBit 4.0, indiquant une continuité du développement.

Type d’article: analyse de menace visant à documenter l’évolution technique, les capacités d’évasion et les variantes de LockBit 5.0.

🧠 TTPs et IOCs détectés

TTPs

[‘Obfuscation via packing et déchiffrement des binaires PE en mémoire par DLL reflection’, ‘Patching d’ETW pour désactiver la journalisation d’événements Windows’, ‘Arrêt de services de sécurité via comparaisons de noms hachés’, ‘Purge des journaux via l’API EvtClearLog’, ‘Ajout d’une extension aléatoire de 16 caractères aux fichiers chiffrés’, ‘Stockage de la taille originale du fichier dans le pied de page des fichiers chiffrés’, ‘Utilisation de commandes en ligne pour cibler des répertoires spécifiques sur Linux’, ‘Inclusion de paramètres dédiés à la virtualisation pour la variante ESXi’]

🔗 Source originale : https://blog.polyswarm.io/lockbit-5.0

🖴 Archive : https://web.archive.org/web/20251013201512/https://blog.polyswarm.io/lockbit-5.0