Alarm cybernetyczny: Bezprecedensowy ransomware zagraża systemom Windows i Linux

Lockbit 5.0 atakuje systemy Windows, Linux i VMware ESXijednocześnie, wyłączając stacje robocze, serwery i hiperwizory w ciągu kilku minut. Nowa wersja, ujawniona przez Trend Micro, ukrywa swój kod za agresywnym pakietowaniem i odbiciem DLL, które omija tradycyjne oprogramowanie antywirusowe. Ransomware rośnie w siłę, kopie zapasowe są celem ataków: ekosystem obronny musi zareagować natychmiast.

Atak potwierdza strategię „wieloplatformową”: pojedyncza kampania wpływa na całą sieć, od stacji roboczej Microsoft 365 po klaster Kubernetes. Eksperci z Cybermalveillance.gouv.fr opisują „bezprecedensowe przyspieszenie”, podczas gdy działania policji w 2024 roku nie wystarczyły, aby powstrzymać tę serię ataków. CISO poszukują obecnie środków zaradczych, które mogłyby ograniczyć presję ekonomiczną i wpływ na reputację. Lockbit 5.0 Ransomware: Anatomia wieloplatformowego złośliwego oprogramowania

Wersja 5.0, wykryta na początku 2025 roku, dodaje losowe, 16-znakowe rozszerzenie, co praktycznie uniemożliwia ręczne odzyskanie. W przeciwieństwie do poprzednich wersji, plik binarny konfiguruje się automatycznie, selektywnie szyfrując bazy danych i migawki ESXi, paraliżując infrastrukturę wirtualną.

Taktyki unikania i szyfrowanie ukryte W systemie Windows odbicie DLL wstrzykuje ładunek do podpisanych procesów, niszcząc większość sygnatur heurystycznych. W systemie Linux atak z wiersza poleceń atakuje katalogi /home, /srv oraz woluminy NFS z jednym wątkiem na rdzeń, przyspieszając szyfrowanie. Środowiska ESXi przechodzą przez wyłączenie maszyny wirtualnej, a następnie szyfrowanie blok po bloku; host pozostaje sprawny, maskując atak do zaplanowanego porannego restartu. Pokonywanie ransomware w systemach Windows, Linux i ESXiObrona rozpoczyna się od przetestowanych i izolowanych kopii zapasowych offline; Niezmienne znaczniki czasu przerywają łańcuch naruszeń. Rozbudowane pakiety wykrywania, niezależnie od tego, czy

Rozwiązania Kaspersky, Bitdefender, ESET lub XDR od Palo Alto Networks i Fortinet muszą obejmować punkty końcowe, obciążenia chmurowe i hiperwizory.

Natychmiastowy plan działania dla zespołów IT

Segmentacja sieci ogranicza lateralizację; najmniejszy niezaszyfrowany udział SMB staje się drogą królewską.

Poprawki Microsoftu i jądra muszą być stosowane stale, ponieważ Lockbit rozprzestrzenia się poprzez niezałatane luki w zabezpieczeniach – afera Sopra Steria z 2020 roku pozostaje tego dobitnym przypomnieniem. Wreszcie, monitorowanie logów za pomocą SIEM identyfikuje nieprawidłowe użycie procesora, często będące pierwszym sygnałem masowego szyfrowania. Atakujący przyspieszają, a obrońcy nie mogą już polegać na dotychczasowych praktykach: wspólna koordynacja tworzenia kopii zapasowych, EDR i automatycznej reakcji staje się kluczowym standardem. Ignorowanie tego wzrostu mocy oznacza akceptację faktu, że kolejny list z żądaniem okupu jest już w drodze. Źródło:www.pcwelt.de