LockBit 5.0 — il ransomware cross-platform che punta agli hypervisor

A settembre 2025 è emersa una nuova incarnazione del noto ransomware LockBit, denominata LockBit 5.0. Non è solo un “aggiornamento”: è un adattamento operativo pensato per essere rapido, meno rumoroso e più impattante sulle infrastrutture virtualizzate. La caratteristica che va sottolineata fin da subito è che la 5.0 è cross-platform: sono stati identificati campioni per Windows, Linux e VMware ESXi — il che amplia la superficie d’attacco e richiede coordinamento tra team diversi (endpoint, server, virtualizzazione).

Che cosa cambia

La catena d’attacco resta la stessa, ma LockBit 5.0 la porta avanti più velocemente e con accorgimenti pensati per ridurre al minimo le tracce:

• Esecuzione “in memoria” LockBit 5.0 punta a restare “sulla RAM”. Piuttosto che lasciare file sul disco, inietta e carica codice direttamente in memoria: così l’indicatore non è più il file sospetto, ma il comportamento di processi altrimenti legittimi. Vedi applicazioni “pulite” che all’improvviso aprono migliaia di file, creano thread in serie o iniziano a parlare in rete senza un eseguibile corrispondente. Sugli EDR/NGAV ben configurati questo si traduce spesso in avvisi di code injection o di moduli caricati solo in memoria, con sequenze tipiche del tipo VirtualAlloc → WriteProcessMemory → CreateRemoteThread o uso di MapViewOfSection. Non sempre però scatta l’allarme: offuscamento, syscalls indirette e tempi diluiti possono mascherare la catena; su postazioni protette solo da AV tradizionale, è facile che passi.
• Riduzione della telemetria utile. LockBit 5.0 include azioni mirate a ostacolare la raccolta di eventi e log proprio nei momenti in cui questi dati servono di più. Questo non significa necessariamente che i log vengano cancellati sempre in modo evidente: più spesso si osservano incoerenze (mancanza di eventi attesi, salti temporali, o riduzione improvvisa del volume di eventi), disabilitazioni o alterazioni di provider di tracciamento e, in alcuni casi, comandi espliciti che svuotano i registri. In pratica, l’attaccante cerca di “zittire” gli strumenti che permetterebbero di ricostruire cosa è successo.
• Attenzione mirata agli hypervisor (ESXi). La variante pensata per ESXi colpisce direttamente i file delle macchine virtuali (i .vmdk) e può eseguire più operazioni di cifratura in parallelo per completare l’attacco molto più rapidamente. In pratica, anziché scorrere e cifrare singoli server uno per uno, l’attaccante può “saturare” un datastore in pochi minuti, riducendo drasticamente la finestra utile per intervenire. Per questo motivo è necessario osservare con attenzione alcuni segnali pratici: picchi improvvisi di I/O sul datastore, scritture intensive e ripetute sui file .vmdk e allarmi o anomalie segnalate dai sistemi di storage.
• Comportamento modulare e selettivo. Le analisi indicano che LockBit 5.0 si comporta più come un “kit” parametrizzabile che come un singolo binario monolitico. E’ possibile configurare opzioni di targeting, scegliere percorsi da includere o escludere e decidere quanto aggressiva debba essere la cifratura.  Di conseguenza ci si può aspettare forme diverse dello stesso attacco a seconda della macchina colpita.

L’immagine mostra i parametri, e come utilizzarli.  per lanciare la cifratura

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

LockBit 5.0 sposta il gioco sulla memoria e allarga il perimetro: non basta più l’endpoint, vanno protetti anche gli ambienti che lo orchestrano. La risposta efficace combina patching costante, hardening degli host ESXi, monitoraggio proattivo dei log e protezione endpoint e di rete”. Backup isolate, meglio se immutabili,  e testati restano essenziali per il recovery. In parallelo, è necessario ridurre la superficie d’attacco (funzionalità non essenziali off), applicare least privilege e sorvegliare le anomalie di rete. Investire in MDR e threat hunting proattivo è cruciale per individuare attività stealth prima che diventino crittografia massiva

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Antonio Piazzolla

Responsabile IT Infrastructure & Security con oltre 20 anni di esperienza in ambienti enterprise complessi. In Casillo Group si occupa di continuità operativa, sicurezza e innovazione. Certificato Microsoft, VMware, Cisco e ITIL.

Lista degli articoli