Source : S2W (S2W TALON) sur Medium — janvier 2026. Le rapport retrace l’évolution de LockBit (ABCD→LockBit, 2.0→3.0→4.0→5.0) et son retour après une période de réorganisation post-Operation CRONOS, avec un programme d’affiliation remanié (inscription à 500 $), de nouveaux domaines DLS fin 2025, et des signaux de reprise d’activité sur RAMP/XSS.

• Architecture et anti-analyse 🔍

  • Binaire 5.0 dit « ChoungDong », composé d’un Loader et d’un module Ransomware.
  • Techniques d’anti-analyse/obfuscation renforcées (sauts indirects, dummy code), résolution d’API par hachage custom, anti-debug, et hollowing dans defrag.exe.
  • Patch ETW (désactivation d’EtwEventWrite) et élévation de privilèges via ajustement de jeton.

• Cryptographie et chiffrement 🔐

  • Rançonnote et extension chiffrées (RC4 pour la note, ID personnel combinant 16 octets embarqués + 16 aléatoires).
  • Chiffrement des fichiers avec ChaCha20 (clé/nonce dérivées via SHA-512) et protection de la clé maître via Curve25519 + Poly1305 ; changement majeur de pied de fichier et logique adaptée aux gros fichiers (seuil de 80 Mo) ; extensions aléatoires sur 16 caractères ; terminaison des processus verrouillant les fichiers.

• Comportements système et réseau 🧰

  • Suppression VSS via création de l’interface IVssBackupComponents (évolution par rapport à 4.0), nettoyage %TEMP%, auto-suppression conditionnelle, mutex ajouté (prévention d’exécutions multiples), délai d’exécution, et barre de statut (-v) « ChounDong Locke v1.01 ».
  • Chiffrement réseau identique à 4.0 (énumération SMB/partages via NetShareEnum), effacement des journaux d’événements via EvtOpenSession/EvtClearLog (désormais après le chiffrement), détection des environnements russophones pour éviter certaines cibles.

• Mode Wiper 🧹 et différences 4.0 → 5.0

  • Nouveau paramètre -w : injection d’un payload qui remplit le disque avec des fichiers temporaires (écriture répétée jusqu’à épuisement de l’espace, puis suppression), visant à gêner la forensic.
  • Ajouts/évolutions notables vs 4.0 : mutex effectif, statut en temps réel (-v/-d), suppression VSS via API VSS native, extensions aléatoires, logique pour gros fichiers, arrêt de processus utilisant les fichiers cibles, nettoyage ciblé de TEMP, et durcissement global anti-analyse.

• TTPs observés (extraits) 🧪

  • Obfuscation/anti-debug, résolution d’API par hachage, process hollowing (defrag.exe/svchost.exe), élévation de privilèges, patch ETW.
  • Chiffrement hybride (ChaCha20, Curve25519, Poly1305), extensions aléatoires, kill de processus tenant des handles, modes all/local/net.
  • Suppression snapshots VSS via CreateVssBackupComponentsInternal, effacement des logs via API Evt*, suppression post-chiffrement.
  • Persistance/contrôle d’exécution : mutex, délai d’exécution, paramètres CLI (-v, -d, -w, etc.).
  • Wiper en option (-w) : remplissage disque par fichiers temporaires.

• IoC

  • IoC et règles de détection annoncés en annexe A/B, référencés sur le GitHub de S2W (non inclus dans l’extrait).

Conclusion : analyse technique approfondie d’un rançongiciel (LockBit 5.0) documentant ses évolutions fonctionnelles et opérationnelles, ainsi que ses mécanismes de chiffrement et d’évasion.

🧠 TTPs et IOCs détectés

TTP

Obfuscation/anti-debug, résolution d’API par hachage, process hollowing (defrag.exe/svchost.exe), élévation de privilèges, patch ETW, chiffrement hybride (ChaCha20, Curve25519, Poly1305), extensions aléatoires, kill de processus tenant des handles, modes all/local/net, suppression snapshots VSS via CreateVssBackupComponentsInternal, effacement des logs via API Evt*, suppression post-chiffrement, persistance/contrôle d’exécution : mutex, délai d’exécution, paramètres CLI (-v, -d, -w, etc.), wiper en option (-w) : remplissage disque par fichiers temporaires.

IOC

IoC et règles de détection annoncés en annexe A/B, référencés sur le GitHub de S2W (non inclus dans l’extrait).

🔗 Source originale : https://medium.com/s2wblog/detailed-analysis-of-lockbit-5-0-de92c03441f8