باج افزار LockBit 5.0 دامنه نفوذ خود را به ویندوز، لینوکس و ESXi گسترش داده است

واحد تحقیقات تهدید آکرونیس (Acronis TRU) یک نسخه جدید و به‌طور قابل‌توجهی ارتقایافته از باج‌افزار LockBit را شناسایی کرده است؛ نسخه‌ای که با نام LockBit 5.0 شناخته می‌شود و هم‌اکنون در کمپین‌های فعال به‌کار گرفته شده است. جدیدترین نسخه از باج افزار LockBit 5.0 از قابلیت‌های بین‌پلتفرمی گسترده‌ای برخوردار است و به مهاجمان این امکان را می‌دهد تا در یک حمله هماهنگ، سیستم‌های ویندوز، لینوکس و VMware ESXi را به‌طور همزمان هدف قرار دهند! اما چگونه می‌توان با استفاده از خدمات امنیت شبکه این باج‌افزار خطرناک و قدرتمند را مهار کرد؟ با فالنیک (ایران اچ پی) همراه باشید.

باج افزار LockBit 5.0 محیط‌های سازمانی را هدف می‌گیرد

بر اساس تحلیل‌های انجام‌شده توسط Acronis، باج افزار LockBit 5.0 بیلدهای اختصاصی متناسب با محیط‌های سازمانی را معرفی کرده است که نشان‌دهنده تکامل مستمر مدل «باج‌افزار به‌عنوان سرویس» (RaaS) است. با پشتیبانی از چندین سیستم‌عامل و پلتفرم مجازی‌سازی، عاملان تهدید در موقعیتی قرار گرفته‌اند که بتوانند هم‌زمان نقاط پایانی، سرورها و هایپروایزرها را آلوده کنند و در نتیجه مقیاس و شدت حملات را به شکل چشمگیری افزایش دهند.

نسخه ویندوز این باج‌افزار از تکنیک‌های پیشرفته دور زدن مکانیزم‌های دفاعی بهره می‌برد؛ از جمله مبهم‌سازی کد (Obfuscation) و سازوکارهای ضدتحلیل (Anti-Analysis) که برای عبور از ابزارهای شناسایی و مختل کردن سامانه‌های مانیتورینگ طراحی شده‌اند. در مقابل، نسخه‌های لینوکس و ESXi به‌طور ویژه برای هدف قرار دادن زیرساخت‌های حیاتی و ماشین‌های مجازی توسعه یافته‌اند و به مهاجمان اجازه می‌دهند چندین بار کاری را به‌صورت هم‌زمان رمزگذاری و اختلال عملیاتی گسترده‌ای ایجاد کنند.

پژوهشگران مشاهده کرده‌اند که LockBit 5.0 همانند نسخه‌های قبلی این باج‌افزار، بر الگوریتم‌های رمزنگاری قدرتمند تکیه دارد و فایل‌های رمزگذاری‌شده را با پسوندهای تصادفی علامت‌گذاری می‌کند؛ موضوعی که بازیابی داده‌ها بدون داشتن نسخه‌های پشتیبان امن را به‌مراتب دشوارتر می‌سازد. قابلیت‌های متمرکز بر ESXi به‌ویژه نگران‌کننده است، زیرا نفوذ به یک میزبان هایپروایزر می‌تواند به‌طور هم‌زمان بر تعداد زیادی ماشین مجازی تأثیر بگذارد.

ظهور باج افزار LockBit 5.0 نشان‌دهنده تاب‌آوری و سازگاری بالای گروه‌های باج‌افزاری است، حتی در شرایطی که نهادهای مجری قانون در سطح جهانی تلاش‌های مستمری برای مختل کردن و برچیدن زیرساخت‌های آن‌ها انجام می‌دهند. انتشار این نسخه ارتقایافته از انواع باج افزار همچنین بیانگر تداوم تمرکز بر اهداف سازمانی در سطح پیشرفته است؛ به‌گونه‌ای که پلتفرم‌های مجازی‌سازی و سامانه‌های حیاتی بک‌اند بیش از پیش در تیررس مهاجمان قرار گرفته‌اند.

راه‌های مقابله با باج افزار LockBit 5.0 چیست؟

برای مقابله با باج افزار لاک‌بیت 5.0، واحد تحقیقات تهدید آکرونیس به سازمان‌ها توصیه می‌کند استراتژی امنیتی چندلایه‌ای اتخاذ کنند که شامل موارد زیر باشد:

• حفاظت جامع از Endpoint (نقاط پایانی) و سرورها
• تفکیک شبکه (Network Segmentation)
• کنترل دسترسی قوی مانند احراز هویت چندمرحله‌ای (MFA)
• رعایت اصول بکاپ‌گیری از اطلاعات سرور و تهیه نسخه‌های پشتیبان آفلاین که به‌طور منظم آزمایش می‌شوند

با توجه به اینکه اپراتورهای باج‌افزار همچنان پیچیدگی فنی و گستره پلتفرمی خود را گسترش می‌دهند، دید سراسری نسبت به محیط‌های مختلف و اتخاذ اقدامات پیشگیرانه و تاب‌آوری سایبری فعال، بیش از پیش برای دفاع سازمانی حیاتی شده است.

ظهور باج افزار LockBit 5.0 چه پیامی برای ما دارد؟

تحلیل روندهای اخیر نشان می‌دهد که LockBit 5.0 صرفاً یک به‌روزرسانی فنی نیست، بلکه بازتابی از تغییر راهبردی در اکوسیستم جرایم سایبری است؛ جایی که مهاجمان با تمرکز بر محیط‌های ترکیبی (Hybrid) و زیرساخت‌های ابری–مجازی، به‌دنبال به حداکثر رساندن اثرگذاری حمله در کوتاه‌ترین زمان ممکن هستند.

پشتیبانی هم‌زمان از ویندوز، لینوکس و ESXi به آن‌ها اجازه می‌دهد زنجیره حمله را به‌صورت افقی و عمودی گسترش دهند؛ از آلوده‌سازی یک ایستگاه کاری کاربر تا دسترسی به سرورهای بک‌اند و در نهایت رمزگذاری ماشین‌های مجازی حیاتی. این رویکرد، علاوه بر افزایش فشار عملیاتی، اهرم باج‌گیری را نیز تقویت می‌کند، زیرا توقف سرویس‌های حیاتی سازمان می‌تواند خسارت‌های مالی و اعتباری شدیدی ایجاد کند.

از منظر دفاعی، این تحولات بیانگر آن است که اتکا به راهکارهای تک‌نقطه‌ای دیگر پاسخ‌گو نیست و سازمان‌ها باید به سمت معماری Zero Trust، مانیتورینگ مداوم رفتارها، مدیریت وصله‌های امنیتی، ارتقای هایپروایزرها و پایش متمرکز لاگ‌ها حرکت کنند. در جمع‌بندی می‌توان گفت LockBit 5.0 نمادی از بلوغ صنعتی باج‌افزارهاست؛ تهدیدی چندسکویی، هدفمند و سازمان‌محور که مقابله با آن مستلزم رویکردی جامع، پیش‌دستانه و مبتنی بر تاب‌آوری سایبری در سطح کلان سازمان است.