Trend Research hat die neueste Version der berüchtigten LockBit-Ransomware analysiert. LockBit 5.0 zeigt sich mit erweiterten Obfuskations- und Anti-Analyse-Techniken sowie plattformübergreifender Unterstützung für Windows, Linux und VMware ESXi.
Die Windows-Variante nutzt verschleierte Payloads über DLL-Reflection und beendet gezielt Sicherheitsdienste. Die Linux-Version bietet ähnliche Funktionen mit flexiblen Kommandozeilenoptionen. Besonders kritisch ist die neue ESXi-Variante, die ganze Virtualisierungsumgebungen und damit dutzende virtuelle Maschinen auf einmal verschlüsseln kann.
Zu den Gemeinsamkeiten aller Varianten zählen zufällig generierte 16-stellige Dateiendungen, das Umgehen russischer Systeme sowie das Löschen von Event-Logs nach der Verschlüsselung. Die Verbesserungen machen LockBit 5.0 laut den Forschern deutlich gefährlicher als frühere Versionen.
Nach der Zerschlagung durch „Operation Cronos“ im Februar 2024 meldete sich die Ransomware-Gruppe im September zurück – pünktlich zu ihrem sechsten Jubiläum. Die neue Version unterstreicht ihre Strategie: maximale Wirkung durch parallele Angriffe auf unterschiedliche Plattformen.
