Pesquisadores da Trend Micro identificaram uma nova variante do ransomware LockBit, que agora mira ambientes virtualizados com suporte a múltiplas plataformas. Batizada de LockBit 5.0, a ameaça expande sua capacidade de ataque para incluir sistemas Linux e especialmente servidores VMware ESXi, além das tradicionais infecções em máquinas Windows.
Segundo a análise, o grupo por trás do LockBit introduziu melhorias no carregamento modular do ransomware, facilitando sua adaptação a diferentes tipos de infraestrutura. No caso dos ambientes ESXi, os atacantes visam diretamente a interface de linha de comando do host, utilizando scripts personalizados para desligar máquinas virtuais antes da criptografia. Isso aumenta a efetividade do sequestro de dados e dificulta a recuperação rápida dos sistemas comprometidos. A versão 5.0 também traz recursos aprimorados para evasão de antivírus, controle de payloads por linha de comando e uso de técnicas para manter persistência nos sistemas infectados. Em ataques recentes, os operadores demonstraram habilidade em desativar soluções de backup e monitoramento antes de iniciar o processo de criptografia. Outro destaque é o foco em ambientes corporativos com infraestrutura híbrida, onde servidores físicos e virtuais convivem.
O ransomware utiliza scripts de reconhecimento para identificar volumes de rede, compartilhamentos de arquivos e serviços expostos, buscando causar interrupções amplas e forçar o pagamento de resgate. A campanha também mostra indícios de uso de credenciais previamente comprometidas para acesso inicial, além de exploração de falhas conhecidas em servidores ESXi não atualizados. A partir da movimentação lateral, os operadores escalam privilégios até conseguir acesso total ao hipervisor.
