کشف باج افزار LockBit5

تهدید جدی برای سیستم‌های ویندوزی، لینوکسی و مجازی‌ساز ESXi

پژوهشگران امنیت سایبری به تازگی نسخه جدیدی از باج‌افزار LockBit را کشف کرده‌اند که با نام LockBit 5.0 شناخته می‌شود و سیستم‌های ویندوزی، لینوکسی و به‌ویژه زیرساخت‌های مجازی‌سازی مانند VMware ESXi را هدف قرار می‌دهد. این باج‌افزار به تازگی در ایران نیز قربانی گرفته است که اهمیت محافظت و مراقبت در مقابل این باج‌افزار را مضاعف می‌کند.

باج‌افزار LockBit یکی از مشهورترین باج‌افزارهای از نوع RaaS است و با ارائه این نسخه نشان داده است که نه‌تنها روی ایستگاه‌های کاری ویندوز متمرکز است، بلکه می‌تواند زیرساخت‌های مجازی و سرورهای لینوکسی را نیز مورد حمله قرار دهد.

 

نحوه فعالیت

نسخه ویندوزی LockBit 5.0 از ترفندهای Packing و Obfuscation سنگین استفاده می‌کند. به عنوان مثال payload را در حافظه بارگذاری می‌کند (DLL reflection) تا تحلیل ایستا توسط پژوهشگران را دشوار کند.

در مرحله اجرای اولیه، سرویس‌های امنیتی یا پشتیبان‌گیری را با هش کردن اسامی سرویس‌ها یافته و خاموش می‌کند، سپس لاگ‌های رویداد ویندوز (Event Logs) را پاکسازی می‌کند تا تحلیل حادثه مختل شود. همچنین، نام فایل‌های رمزگذاری شده با پسوند تصادفی ۱۶ کاراکتری همراه می‌شوند که کار بازیابی فایل‌ها را بسیار سخت‌تر می‌کند.

در نسخه لینوکسی، این باج‌افزار دارای رابط فرمان‌خطی (CLI) است که پارامترهایی برای انتخاب دایرکتوری‌ها، نوع فایل‌ها، و گزینه‌های لاگ‌گیری در اختیار مهاجم می‌گذارد. این یعنی مهاجم می‌تواند حمله را با ظرافت بیشتری برای مسیرهای مهم سیستم‌عامل لینوکس برنامه‌ریزی کند.

اما بخش بسیار حساس، نسخه ESXi است. این نسخه به‌صورت ویژه برای مجازی‌سازی طراحی شده است و می‌تواند دیسک‌های ماشین مجازی، فایل‌های پیکربندی VM و متادیتا را هدف قرار دهد تا با یک هاست ESXi آلوده، ده‌ها یا صدها ماشین مجازی را به یک باره رمزگذاری کند.

 

نکات قابل توجه

این نسخه از باج‌افزار LockBit 5.0 زبان سیستم / موقعیت جغرافیایی را بررسی می‌کند. تا در صورت تشخیص زبان روسی یا موقعیت روسیه، عملیات خود در سیستم قربانی را متوقف کند.

کدمنبع این باج‌افزار بسیار با نسخه قبلی آن یعنی LockBit 4.0 شباهت دارد. از جمله الگوریتم‌های مورد استفاده در هش‌کردن رشته‌ها و روش‌های resolve API به صورت پویا. بنابراین نسخه 5.0 یک بازنویسی کامل نیست، بلکه ارتقاء یافته نسبت به نسخه‌های قبلی است.

همچنین بررسی‌ها حاکی از آن است که نسخه 5.0 این باج‌افزار رابط کاربری و امکانات بهتری برای اپراتورهای خود قرار داده است. این امکانات شامل گزینه‌های بیشتر و واضح‌تر، منوهای روشن‌تر و امکان سفارشی‌سازی بالاتر برای اجرای حمله را فراهم می‌کند؛ این یعنی امکان دارد با توجه به ماهیت RaaS این باج‌افزار، گروه مهاجم به جذب مهاجمان جدید با مهارت کمتر اما با خسارت بیشتر برای قربانیان روی آورده باشد.

 

 

 

توصیه‌های امنیتی

با توجه به گستردگی تهدید این باج‌افزار، پیشنهاد می‌شود:

• آموزش کاربران: مهمترین خط دفاعی، آموزش کاربران برای شناسایی و گزارش فیشینگ است.
• مدیریت وصله‌های امنیتی (Patch Management): به روزرسانی سریع و منظم تمام نرم‌افزارها و سیستم‌عامل‌ها.
• اصل کمترین دسترسی (Principle of Least Privilege): کاربران تنها دسترسی لازم برای انجام کار خود را داشته باشند.
• احراز هویت چندعاملی (MFA): فعال‌سازی MFA به ویژه برای دسترسی‌های راه دور (RDP, VPN).
• پشتیبان‌گیری منظم (Backups): داشتن نسخه‌های پشتیبان آفلاین (Offline) یا غیرقابل نوشتن (Immutable) که باج‌افزار نتواند به آن‌ها دسترسی پیدا کند. تست منظم بازیابی این پشتیبان‌ها حیاتی است.
• جداسازی شبکه (Network Segmentation): تقسیم شبکه به بخش‌های کوچک‌تر (Vlaning) تا از گسترش افقی باج‌افزار جلوگیری شود.
• شکار تهدید (Threat Hunting) و نظارت ویژه: فایل‌هایی با پسوند ۱۶ کاراکتر تصادفی که نشانه رمزگذاری هستند، لاگ‌های پاک‌شده یا سرویس‌های امنیتی خاموش‌شده، می‌توانند شاخص‌هایی برای کشف حمله باشند.
• راهکارهای امنیتی پیشرفته: استفاده از EDR (Endpoint Detection and Response) و نرم‌افزارهای آنتی‌ویروس نسل جدید (NGAV) برای شناسایی رفتارهای مشکوک.

 

منابع:

• https://www.trendmicro.com/en_us/research/25/i/lockbit-5-targets-windows-linux-esxi.html
• https://www.netsecurity.com/lockbit-5-0-resurface-with-cross%E2%80%91platform-ransomware-that-targets-windows-linux-and-esxi/