A settembre 2025 è emersa una nuova incarnazione del noto ransomware LockBit, denominata LockBit 5.0. Non è solo un “aggiornamento”: è un adattamento operativo pensato per essere rapido, meno rumoroso e più impattante sulle infrastrutture virtualizzate. La caratteristica che va sottolineata fin da subito è che la 5.0 è cross-platform: sono stati identificati campioni per Windows, Linux e VMware ESXi — il che amplia la superficie d’attacco e richiede coordinamento tra team diversi (endpoint, server, virtualizzazione).
Che cosa cambia
La catena d’attacco resta la stessa, ma LockBit 5.0 la porta avanti più velocemente e con accorgimenti pensati per ridurre al minimo le tracce:
Esecuzione “in memoria” LockBit 5.0 punta a restare “sulla RAM”. Piuttosto che lasciare file sul disco, inietta e carica codice direttamente in memoria: così l’indicatore non è più il file sospetto, ma il comportamento di processi altrimenti legittimi. Vedi applicazioni “pulite” che all’improvviso aprono migliaia di file, creano thread in serie o iniziano a parlare in rete senza un eseguibile corrispondente. Sugli EDR/NGAV ben configurati questo si traduce spesso in avvisi di code injection o di moduli caricati solo in memoria, con sequenze tipiche del tipo VirtualAlloc → WriteProcessMemory → CreateRemoteThread o uso di MapViewOfSection. Non sempre però scatta l’allarme: offuscamento, syscalls indirette e tempi diluiti possono mascherare la catena; su postazioni protette solo da AV tradizionale, è facile che passi.
Riduzione della telemetria utile. LockBit 5.0 include azioni mirate a ostacolare la raccolta di eventi e log proprio nei momenti in cui questi dati servono di più. Questo non significa necessariamente che i log vengano cancellati sempre in modo evidente: più spesso si osservano incoerenze (mancanza di eventi attesi, salti temporali, o riduzione improvvisa del volume di eventi), disabilitazioni o alterazioni di provider di tracciamento e, in alcuni casi, comandi espliciti che svuotano i registri. In pratica, l’attaccante cerca di “zittire” gli strumenti che permetterebbero di ricostruire cosa è successo.
Attenzione mirata agli hypervisor (ESXi). La variante pensata per ESXi colpisce direttamente i file delle macchine virtuali (i .vmdk) e può eseguire più operazioni di cifratura in parallelo per completare l’attacco molto più rapidamente. In pratica, anziché scorrere e cifrare singoli server uno per uno, l’attaccante può “saturare” un datastore in pochi minuti, riducendo drasticamente la finestra utile per intervenire. Per questo motivo è necessario osservare con attenzione alcuni segnali pratici: picchi improvvisi di I/O sul datastore, scritture intensive e ripetute sui file .vmdk e allarmi o anomalie segnalate dai sistemi di storage.
Comportamento modulare e selettivo. Le analisi indicano che LockBit 5.0 si comporta più come un “kit” parametrizzabile che come un singolo binario monolitico. E’ possibile configurare opzioni di targeting, scegliere percorsi da includere o escludere e decidere quanto aggressiva debba essere la cifratura. Di conseguenza ci si può aspettare forme diverse dello stesso attacco a seconda della macchina colpita.
L’immagine mostra i parametri, e come utilizzarli. per lanciare la cifratura
Advertising
LockBit 5.0 sposta il gioco sulla memoria e allarga il perimetro: non basta più l’endpoint, vanno protetti anche gli ambienti che lo orchestrano. La risposta efficace combina patching costante, hardening degli host ESXi, monitoraggio proattivo dei log e protezione endpoint e di rete”. Backup isolate, meglio se immutabili, e testati restano essenziali per il recovery. In parallelo, è necessario ridurre la superficie d’attacco (funzionalità non essenziali off), applicare least privilege e sorvegliare le anomalie di rete. Investire in MDR e threat hunting proattivo è cruciale per individuare attività stealth prima che diventino crittografia massiva
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Responsabile IT Infrastructure & Security con oltre 20 anni di esperienza in ambienti enterprise complessi. In Casillo Group si occupa di continuità operativa, sicurezza e innovazione. Certificato Microsoft, VMware, Cisco e ITIL.
Ritorna lunedì 18 e martedì 19 maggio la Red Hot Cyber Conference 2026, l’evento gratuito creato dalla community di Red Hot Cyber, che si terrà a Roma in Via Bari 18, presso il Teatro Italia. L’iniziativa è pensata per promuovere la cultura della sicurezza informatica, dell’innovazione digitale e della consapevolezza del rischio cyber. Rappresenta un punto di incontro tra professionisti, studenti, aziende e appassionati del settore, offrendo contenuti tecnici, workshop e momenti di confronto ad alto valore formativo.
L’edizione 2026 si svolgerà a Roma nelle giornate del 18 e 19 maggio presso il Teatro Italia e includerà attività formative, sessioni pratiche e la tradizionale Capture The Flag. L’evento è completamente gratuito, ma la partecipazione è subordinata a registrazione obbligatoria tramite i canali ufficiali, al fine di garantire una corretta organizzazione e gestione degli accessi.
Le iscrizioni saranno disponibili a partire dal 16 marzo 2026 attraverso la piattaforma Eventbrite, dove sarà possibile registrarsi ai diversi percorsi dell’evento: workshop, conferenza principale e competizione CTF. I link ufficiali di registrazione saranno pubblicati sui canali di Red Hot Cyber e costituiranno l’unico punto valido per la prenotazione dei posti all’evento.
