Шифровальщик LockBit все еще жив и обрел загрузчик, позволяющий обойти EDR

Шифровальщик LockBit все еще жив и обрел загрузчик, позволяющий обойти EDR

Шифровальщик LockBit все еще жив и обрел загрузчик, позволяющий обойти EDR

Проведенный в Flashpoint анализ LockBit 5.0 подтвердил, что новая версия зловреда построена на базе v4.0. Шифровальщик также стал еще более скрытным из-за использования кастомного загрузчика и обрел деструктивные функции.

С выпуском LockBit 5.0 его развертывание стало осуществляться в два этапа: вначале загружается самостоятельный лоадер, обеспечивающий обход EDR, а затем — основной пейлоад, не утративший прежних функций.

Шифровальщик по-прежнему откатывает исполнение на машинах жителей стран СНГ, но стал обходить стороной также Филиппины. Записка с требованием выкупа (ReadMeForDecrypt.txt) содержит привычный текст, сохранилась даже опечатка в англоязычном слове «информация» — «inforTmation».

 

Для обхода EDR новый загрузчик LockBit использует технику process hollowing (для внедрения вредоноса в экземпляр defrag.exe), отвязку библиотек (повторно загружает с диска чистые NTDLL и Kernel32, перезаписывая в памяти хуки защитных решений), патчинг трассировки событий Windows, а также скрывает расширения файлов.

Изолированный от основного пейлоада зловред умеет распознавать вызовы API по хешам, перенаправлять поток исполнения на разрешенные вызовы API, динамически рассчитывать адреса перехода для обфускации потока управления.

Обновленный LockBit научился обрабатывать данные на локальных и сетевых дисках, в папках по выбору оператора, а также работать в многопоточном режиме с использованием XChaCha20.

Опциональные деструктивные функции позволяют зловреду шифровать файлы незаметно для жертвы — не меняя расширений и без вывода записки с требованием выкупа.

Результаты анализа показали, что грозный шифровальщик все еще актуален как угроза и даже продолжает развиваться — невзирая на попытки ликвидации инфраструктуры LockBit, взлом сайта RaaS (Ransomware-as-a-Service, вымогательский софт как услуга) и слив переписки в рамках LockBit-партнерки.

РЖД готовят продажу билетов через мессенджер МАКС

РЖД планируют уже в 2026 году запустить продажу билетов на пригородные поезда через чат-бот в МАКС на всей сети железных дорог России. Исключением станет только Московский транспортный узел — там действует отдельная система продаж.

Сейчас сервис проходит проверку в регионах. С марта 2026 года РЖД тестируют чат-бот на полигонах пригородных компаний в Новосибирской, Омской, Кемеровской областях, Алтайском и Красноярском краях. С 1 июля пилот расширили на Северо-Запад России.

В Западной Сибири через чат-бот уже оформили почти 380 тысяч билетов. В РЖД считают, что это подтверждает интерес пассажиров к новому способу покупки.

В холдинге отмечают, что перед запуском нужно проверить устойчивость сервиса, удобство интерфейса для разных категорий пассажиров и собрать обратную связь.

Проще говоря, РЖД хотят убедиться, что чат-бот не развалится под нагрузкой, не запутает пользователей и действительно будет удобен, а не превратится в очередной цифровой квест.

Если масштабирование пройдет по плану, пассажиры смогут покупать билеты на электрички прямо в МАКС без перехода в отдельные приложения или кассы. Для регионов это может стать заметным упрощением, особенно там, где пригородные поездки остаются ежедневной рутиной для тысяч людей.

Московский транспортный узел пока останется за скобками: из-за собственной системы продаж билеты через чат-бот в МАКС там запускать не планируют.

RSS: Новости на портале Anti-Malware.ru