LockBit 5.0 Ra Mắt: Tấn Công Đồng Thời Windows, Linux Và VMware ESXi

LockBit trở lại, hung hãn hơn sau “Operation Cronos”

Sau đợt truy quét rầm rộ mang tên Operation Cronos hồi tháng 2/2025, nhiều người tin rằng LockBit – một trong những nhóm ransomware khét tiếng nhất thế giới – đã bị xóa sổ. Chiến dịch phối hợp giữa Mỹ và Anh từng triệt phá máy chủ, hạ tầng tên miền, thậm chí công bố công cụ giải mã dữ liệu miễn phí. Tuy nhiên, thực tế cho thấy LockBit không hề biến mất. Phiên bản mới LockBit 5.0 vừa xuất hiện đã chứng minh nhóm tội phạm này đang trở lại, mạnh mẽ và nguy hiểm hơn bao giờ hết.

Trend Micro trong báo cáo kỹ thuật mới nhất mô tả LockBit 5.0 là một bước nhảy vọt, chứ không chỉ là bản nâng cấp nhỏ. Điểm đáng lo ngại nhất: nó có khả năng tấn công đa nền tảng – Windows, Linux, và đặc biệt là VMware ESXi – xương sống của hạ tầng ảo hóa doanh nghiệp hiện nay.

Ba biến thể, một mục tiêu: hủy diệt toàn bộ hệ thống

Theo Trend Micro, LockBit 5.0 thể hiện những tiến bộ kỹ thuật vượt trội ở cả ba nền tảng:

Windows: sử dụng DLL reflection để nạp payload, đi kèm cơ chế nén và chống phân tích ngặt nghèo, khiến chuyên gia bảo mật khó mà mổ xẻ.
Linux: hỗ trợ lệnh dòng (CLI) cho phép kẻ tấn công tùy chỉnh chính xác thư mục và loại tệp cần mã hóa.
VMware ESXi: tập trung vào môi trường ảo hóa, mã hóa trực tiếp máy ảo – nơi doanh nghiệp lưu trữ khối lượng dữ liệu khổng lồ.

Đáng sợ hơn, LockBit 5.0 gán cho mỗi tệp mã hóa một đuôi ngẫu nhiên 16 ký tự, khiến việc khôi phục dữ liệu trở nên gian nan hơn bao giờ hết.

Mô hình kiến trúc mô-đun và tốc độ hủy diệt

LockBit 5.0 không chỉ mạnh nhờ kỹ thuật mà còn nhờ cách tổ chức. Với kiến trúc mô-đun, ransomware này có thể tùy chỉnh cho từng môi trường, dễ dàng mở rộng quy mô tấn công.

Hậu quả là toàn bộ stack doanh nghiệp – từ máy trạm, cơ sở dữ liệu, đến hạ tầng ảo hóa – đều có thể bị đánh sập chỉ trong một chiến dịch duy nhất.

Các chuyên gia cảnh báo: khi Windows, Linux và ESXi bị khai thác đồng thời, thời gian từ lúc xâm nhập đến lúc dữ liệu bị mã hóa sẽ rút ngắn đáng kể, gần như không cho đội ngũ phòng thủ kịp phản ứng.

Affiliate network – vũ khí bí mật của LockBit

Một phần sức mạnh của LockBit đến từ mạng lưới affiliate (cộng tác viên). Các affiliate không cần viết mã độc, họ chỉ cần dùng framework sẵn có của LockBit để tiến hành tấn công. Đổi lại, họ được chia lợi nhuận từ tiền chuộc.

Với phiên bản 5.0, LockBit đã làm mới mô hình khuyến khích, nhằm thu hút lại cộng tác viên sau đợt “tan đàn xẻ nghé” vì Operation Cronos. Đây là chiến lược sống còn, giúp nhóm này tiếp tục mở rộng ảnh hưởng và duy trì nguồn thu.

Thách thức mới cho phòng thủ an ninh mạng

LockBit 5.0 được đánh giá là ác mộng thực sự cho các đội an ninh mạng. Nguyên nhân:

Có thể chấm dứt tiến trình bảo mật và xóa bản sao lưu.
Tấn công vào máy chủ ESXi, khiến bản sao lưu ảo cũng trở nên vô dụng.
Gia tăng tính ẩn mình với nhiều lớp làm rối và kỹ thuật tránh bị phát hiện.

Trend Micro nhấn mạnh: “Không còn nền tảng nào có thể xem là an toàn tuyệt đối trước ransomware hiện đại. LockBit 5.0 chứng minh kỷ nguyên tấn công đa hệ điều hành và nhận thức ảo hóa đã chính thức bắt đầu.”

Kỷ nguyên ransomware thế hệ mới đã đến

LockBit 5.0 không chỉ đơn thuần là phiên bản mới – nó là sự trở lại đầy thách thức của một nhóm ransomware từng bị đánh sập. Với chiến lược tấn công đa nền tảng, khả năng hủy diệt VM, cùng mô hình affiliate mạnh mẽ, LockBit đang mở màn cho kỷ nguyên ransomware không biên giới.

Câu hỏi lớn còn lại: Liệu các tổ chức có đủ khả năng phòng thủ, hay sẽ tiếp tục trở thành nạn nhân trong trò chơi mèo vờn chuột ngày càng khốc liệt này?