LockBit 5.0 — il ransomware cross-platform che punta agli hypervisor

Antonio Piazzolla : 3 Ottobre 2025 07:08

A settembre 2025 è emersa una nuova incarnazione del noto ransomware LockBit, denominata LockBit 5.0. Non è solo un “aggiornamento”: è un adattamento operativo pensato per essere rapido, meno rumoroso e più impattante sulle infrastrutture virtualizzate. La caratteristica che va sottolineata fin da subito è che la 5.0 è cross-platform: sono stati identificati campioni per Windows, Linux e VMware ESXi — il che amplia la superficie d’attacco e richiede coordinamento tra team diversi (endpoint, server, virtualizzazione).

Che cosa cambia

La catena d’attacco resta la stessa, ma LockBit 5.0 la porta avanti più velocemente e con accorgimenti pensati per ridurre al minimo le tracce:

• Esecuzione “in memoria” LockBit 5.0 punta a restare “sulla RAM”. Piuttosto che lasciare file sul disco, inietta e carica codice direttamente in memoria: così l’indicatore non è più il file sospetto, ma il comportamento di processi altrimenti legittimi. Vedi applicazioni “pulite” che all’improvviso aprono migliaia di file, creano thread in serie o iniziano a parlare in rete senza un eseguibile corrispondente. Sugli EDR/NGAV ben configurati questo si traduce spesso in avvisi di code injection o di moduli caricati solo in memoria, con sequenze tipiche del tipo VirtualAlloc → WriteProcessMemory → CreateRemoteThread o uso di MapViewOfSection. Non sempre però scatta l’allarme: offuscamento, syscalls indirette e tempi diluiti possono mascherare la catena; su postazioni protette solo da AV tradizionale, è facile che passi.
• Riduzione della telemetria utile. LockBit 5.0 include azioni mirate a ostacolare la raccolta di eventi e log proprio nei momenti in cui questi dati servono di più. Questo non significa necessariamente che i log vengano cancellati sempre in modo evidente: più spesso si osservano incoerenze (mancanza di eventi attesi, salti temporali, o riduzione improvvisa del volume di eventi), disabilitazioni o alterazioni di provider di tracciamento e, in alcuni casi, comandi espliciti che svuotano i registri. In pratica, l’attaccante cerca di “zittire” gli strumenti che permetterebbero di ricostruire cosa è successo.
• Attenzione mirata agli hypervisor (ESXi). La variante pensata per ESXi colpisce direttamente i file delle macchine virtuali (i .vmdk) e può eseguire più operazioni di cifratura in parallelo per completare l’attacco molto più rapidamente. In pratica, anziché scorrere e cifrare singoli server uno per uno, l’attaccante può “saturare” un datastore in pochi minuti, riducendo drasticamente la finestra utile per intervenire. Per questo motivo è necessario osservare con attenzione alcuni segnali pratici: picchi improvvisi di I/O sul datastore, scritture intensive e ripetute sui file .vmdk e allarmi o anomalie segnalate dai sistemi di storage.
• Comportamento modulare e selettivo. Le analisi indicano che LockBit 5.0 si comporta più come un “kit” parametrizzabile che come un singolo binario monolitico. E’ possibile configurare opzioni di targeting, scegliere percorsi da includere o escludere e decidere quanto aggressiva debba essere la cifratura.  Di conseguenza ci si può aspettare forme diverse dello stesso attacco a seconda della macchina colpita.

L’immagine mostra i parametri, e come utilizzarli.  per lanciare la cifratura

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta RHC attraverso:   L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

LockBit 5.0 sposta il gioco sulla memoria e allarga il perimetro: non basta più l’endpoint, vanno protetti anche gli ambienti che lo orchestrano. La risposta efficace combina patching costante, hardening degli host ESXi, monitoraggio proattivo dei log e protezione endpoint e di rete”. Backup isolate, meglio se immutabili,  e testati restano essenziali per il recovery. In parallelo, è necessario ridurre la superficie d’attacco (funzionalità non essenziali off), applicare least privilege e sorvegliare le anomalie di rete. Investire in MDR e threat hunting proattivo è cruciale per individuare attività stealth prima che diventino crittografia massiva

Antonio Piazzolla
Responsabile IT Infrastructure & Security con oltre 20 anni di esperienza in ambienti enterprise complessi. In Casillo Group si occupa di continuità operativa, sicurezza e innovazione. Certificato Microsoft, VMware, Cisco e ITIL.

Lista degli articoli