Trend Micro ha lanciato un nuovo allarme sulla pericolosità di LockBit 5.0, ultima evoluzione di uno dei ransomware più diffusi e temuti degli ultimi anni. Secondo l’analisi condotta dai ricercatori, questa versione rappresenta un salto qualitativo notevole rispetto alle precedenti varianti, grazie a una serie di funzionalità avanzate che consentono di colpire contemporaneamente sistemi Windows, Linux e ambienti VMware ESXi. Una capacità di azione trasversale che, di fatto, rende vulnerabile l’intera catena tecnologica di un’impresa.

Un ransomware più sofisticato e difficile da individuare

L’indagine tecnica sugli ultimi attacchi ha rivelato un utilizzo intensivo di tecniche di offuscamento e meccanismi di evasione sempre più complessi. In particolare, la variante destinata a Windows sfrutta la riflessione delle DLL per caricare i payload ed è protetta da sistemi di “packing” aggressivi, progettati per ostacolare il lavoro degli analisti e degli strumenti di rilevamento.

La versione per Linux, invece, offre agli aggressori la possibilità di selezionare tramite parametri a riga di comando i file e le directory da compromettere, aumentando la precisione dell’attacco. Ancora più preoccupante è la variante sviluppata per ESXi, che punta direttamente alle infrastrutture di virtualizzazione. In questo caso, attraverso la cifratura delle macchine virtuali, LockBit 5.0 è in grado di mettere in ginocchio l’intero stack di un data center, con gravi conseguenze per la continuità operativa.

Un ulteriore elemento di complessità è rappresentato dall’uso di estensioni casuali di 16 caratteri applicate ai file cifrati. Questa scelta rende molto più complicata l’identificazione e il recupero dei dati, aumentando la pressione sulle vittime affinché paghino il riscatto.

Una minaccia capace di paralizzare reti aziendali

Gli esperti di Trend Micro hanno sottolineato come la nuova architettura modulare e le capacità multipiattaforma di LockBit 5.0 possano portare al blocco simultaneo di endpoint, server critici e piattaforme di virtualizzazione. L’impatto potenziale non riguarda solo singoli sistemi, ma l’intero ecosistema informatico aziendale.

LockBit VMware ESXi

Si tratta dunque di una minaccia in grado di bypassare molte delle soluzioni di difesa tradizionali, non solo per la sua capacità di terminare processi di sicurezza e cancellare backup, ma anche per l’attacco mirato agli ambienti virtualizzati, che riduce drasticamente le possibilità di recupero tramite copie di emergenza.

L’emergere di LockBit 5.0 assume un significato particolare considerando che, a febbraio, le forze dell’ordine internazionali avevano colpito duramente il gruppo criminale dietro il ransomware. L’operazione “Cronos”, condotta da autorità statunitensi e britanniche, aveva portato al sequestro di server, domini e chiavi di decrittazione, dando l’impressione che l’organizzazione fosse stata smantellata.

Nonostante ciò, il collettivo è riuscito a riorganizzarsi e a rilanciare il proprio programma di affiliazione, cuore del modello di business. In questa nuova fase, LockBit sembra puntare sulla resilienza e sull’ampliamento della rete di affiliati, offrendo loro strumenti più flessibili e incentivi rinnovati per diffondere le infezioni su larga scala.

Il rischio è aggravato dal fatto che le nuove tecniche di cifratura e offuscamento comprimono i tempi di reazione a disposizione dei team di sicurezza. In molti casi, il passaggio dalla violazione iniziale alla completa cifratura dei dati può infatti avvenire in poche ore, lasciando margini molto ridotti per una risposta efficace.

Trend Micro raccomanda quindi l’adozione di difese trasversali e multilivello, con particolare attenzione alla protezione delle infrastrutture virtuali, sempre più al centro delle strategie di business continuity delle aziende. Sistemi di monitoraggio avanzato, piani di backup isolati e procedure di recovery costantemente testate diventano elementi imprescindibili per limitare l’impatto di un’eventuale intrusione.

Resta da capire se LockBit 5.0 riuscirà a diffondersi con la stessa capillarità delle precedenti versioni e se l’organizzazione criminale potrà recuperare completamente la reputazione persa dopo i recenti colpi subiti dalle autorità. Di certo, l’evoluzione del malware dimostra la capacità del cybercrimine di adattarsi rapidamente, trasformando ogni tentativo di contrasto in una sfida continua.