LockBit เวอร์ชัน 5.0 โจมตีระบบ Windows, Linux และ ESXi

LockBit 5.0 ซึ่งเป็นแรนซัมแวร์เวอร์ชันใหม่ที่ถูกปล่อยออกมาในเดือนกันยายน 2025 ได้กลายเป็นภัยคุกคามที่อันตรายยิ่งขึ้น โดยมีความสามารถในการโจมตีแพลตฟอร์มที่หลากหลาย รวมถึง Windows, Linux และ ESXi แรนซัมแวร์นี้ทำงานภายใต้โมเดล Ransomware-as-a-Service (RaaS) และใช้กลยุทธ์การข่มขู่แบบสองเท่า (double-extortion) ที่เข้ารหัสไฟล์และขโมยข้อมูลเพื่อบีบให้เหยื่อจ่ายค่าไถ่ โดยส่วนใหญ่พุ่งเป้าไปที่ภาคธุรกิจในสหรัฐอเมริกา ซึ่งคิดเป็นประมาณ 67% ของเหยื่อที่ถูกบันทึกไว้ LockBit 5.0 มีการปรับปรุงความสามารถในการหลบเลี่ยงการป้องกันที่ซับซ้อนและเพิ่มความเร็วในการเข้ารหัส โดยใช้เทคนิคต่อต้านการวิเคราะห์ขั้นสูงและลบหลักฐานทางนิติวิทยาศาสตร์

Severity: วิกฤต

System Impact:

• ระบบปฏิบัติการ Windows
• ระบบปฏิบัติการ Linux
• แพลตฟอร์ม ESXi (VMware)
• แพลตฟอร์ม Virtualization Proxmox
• ภาคธุรกิจในสหรัฐอเมริกา (การผลิต, การดูแลสุขภาพ, การศึกษา, บริการทางการเงิน, หน่วยงานภาครัฐ)

Technical Attack Steps:

1. ทำงานภายใต้โมเดล Ransomware-as-a-Service (RaaS) โดยใช้การข่มขู่แบบสองเท่า (เข้ารหัสไฟล์และขโมยข้อมูล)
2. ใช้เทคนิคต่อต้านการวิเคราะห์ขั้นสูงใน Windows เช่น packing, DLL unhooking, process hollowing และ Event Tracing for Windows (ETW) patching
3. ซ่อนฟังก์ชันการทำงานจริงโดยใช้ Mixed Boolean-Arithmetic obfuscation ห่อหุ้มด้วย return-address dependent hashing
4. ดำเนินการตรวจสอบตำแหน่งทางภูมิศาสตร์เพื่อหลีกเลี่ยงการติดเชื้อในประเทศหลังโซเวียต
5. ใช้ Process Hollowing โดยการฉีดตัวเองเข้าไปในยูทิลิตี้ defrag.exe ที่ถูกต้องของ Windows
6. หลังจากเข้ารหัส จะทำการ Patch ฟังก์ชัน EtwEventWrite เพื่อปิดใช้งานการตรวจสอบ Event Tracing for Windows
7. ล้างบันทึกเหตุการณ์ (event logs) ทั้งหมดโดยใช้ฟังก์ชัน EvtClearLog เพื่อลบหลักฐานกิจกรรม
8. ใช้การเข้ารหัสแบบผสมผสาน: XChaCha20 สำหรับการเข้ารหัสแบบสมมาตร และ Curve25519 สำหรับการเข้ารหัสแบบอสมมาตร
9. สร้างส่วนขยายไฟล์ที่ถูกเข้ารหัสแบบสุ่ม 16 ตัวอักษร
10. สร้างเธรดการเข้ารหัสหลายเธรดตามจำนวนโปรเซสเซอร์ของระบบเพื่อความเร็วสูงสุด

Recommendations:

Short Term:

• สำรองข้อมูลแบบออฟไลน์เป็นประจำและตรวจสอบความสมบูรณ์ของข้อมูลสำรอง
• แบ่งส่วนเครือข่าย (Network Segmentation) เพื่อจำกัดการแพร่กระจายของการโจมตี
• ติดตั้งและอัปเดตโซลูชัน Endpoint Detection and Response (EDR)
• จัดการและอัปเดตแพตช์ระบบอย่างทันท่วงที

Long Term:

• จัดให้มีการฝึกอบรมด้านความตระหนักรู้ด้านความปลอดภัยสำหรับพนักงานเพื่อป้องกันการเข้าถึงเริ่มต้นผ่านฟิชชิ่ง
• ตรวจสอบพฤติกรรมการประมวลผลที่น่าสงสัยและกิจกรรมการเข้ารหัสไฟล์ที่ไม่คาดคิด
• ตรวจสอบความพยายามในการปิดใช้งานกลไกการบันทึกความปลอดภัยของระบบ

Source: https://cybersecuritynews.com/lockbits-new-5-0-version/