LockBit 2.0 a vizat organizații din Chile 85%, folosind versiunea mai nouă.

The Ransomware LockBit banda este operațională din 2019. În iunie 2021, gasca desfășurat o versiune mai nouă a ransomware, numit LockBit 2.0 către dezvoltatorii săi, fost văzută către cercetătorii fac furori pe forumuri subterane. Acum, un raport publicat de Trend Micro detaliază modul în care a fost implementată noua versiune în campaniile recente începând cu luna iulie a acestui an.

Campaniile au vizat organizații din Chile, Italia, Taiwan și Marea Britanie folosind versiunea mai nouă.

Chile a primit greul atacurilor bandei, reprezentând 85% din atacurile din această perioadă. LockBit a făcut recent titluri internaționale atunci când a atacat cu succes Accenture, observând cercetătorii Trend Micro,

„Grupul din spatele LockBit 2.0 a efectuat recent un atac foarte mediatizat, așa că ar trebui să fie de la sine înțeles că organizațiile trebuie să urmărească cu atenție această variantă de ransomware. LockBit 2.0 este deosebit de complicat pentru criptarea sa rapidă. De asemenea, presupunem că acest grup va continua să facă o scenă pentru o lungă perioadă de timp, mai ales că în prezent recrutează afiliați și insideri, făcându-l mai capabil să infecteze multe companii și industrii. De asemenea, ar fi înțelept să ne asumăm și să ne pregătim pentru actualizări și dezvoltări ulterioare în LockBit 2.0, mai ales acum că multe companii sunt conștiente de capacitățile sale și de modul în care funcționează. ”

LockBit 2.0 are câteva funcții noi concepute pentru a îmbunătăți eficiența malware-ului. Când acest lucru este combinat cu operațiunile ransomware-as-a-service deja bine dezvoltate ale grupului cu afiliați care se ocupă de infiltrarea și exfiltrarea datelor, pentru a desfășura o campanie de extorcare dublă, face din LockBit o amenințare pentru multe organizații.

Rezumând îmbunătățirile aduse bazei de cod, cercetătorii au remarcat,

„Spre deosebire de atacurile și caracteristicile LockBit din 2019, această versiune include criptarea automată a dispozitivelor pe domeniile Windows, abuzând de politicile de grup Active Directory (AD), determinând grupul din spatele acestuia să susțină că este una dintre cele mai rapide variante de ransomware de pe piață astăzi. . LockBit 2.0 se mândrește cu faptul că are una dintre cele mai rapide și mai eficiente metode de criptare în peisajul amenințărilor ransomware de astăzi. Analiza noastră arată că, deși folosește o abordare multithread în criptare, criptează doar parțial fișierele, deoarece doar 4 KB de date sunt criptate pe fișier. ”

În ceea ce privește tehnicile utilizate pentru a obține acces la infrastructura țintelor, banda nu va folosi doar afiliații, ci va încerca, de asemenea, să recruteze insideri, cei care lucrează pentru sau au acces privilegiat la infrastructura unei ținte, pentru a obține acces privilegiat. Se promite că persoanele din interior vor fi plătite frumos pentru acreditări, garantând în același timp anonimatul acestora, care permite accesul la infrastructură, de obicei prin conexiuni RDP.

Cercetătorii consideră că acesta ar putea fi un aranjament mai favorabil dezvoltatorilor LockBit decât să se bazeze exclusiv pe afiliați. Tactica a fost descrisă ca eliminând în mod eficient „intermediarul”, deoarece atacatorii nu mai necesită cooperarea altor grupuri de amenințări și hackeri.

Rutină de infecție îmbunătățită

Schimbarea tacticii de recrutare a fost, de asemenea, susținută de o îmbunătățire a modului în care operatorii LockBit vor proceda la infectarea unei rețele vizate. În trecut RDP, abuzul a fost favorizat în obținerea accesului inițial, acest lucru nu s-a schimbat și securizarea porturilor RDP este încă o măsură de apărare validă care trebuie luată împotriva atacurilor LockBit.

În timp ce metoda de obținere a accesului s-a schimbat foarte puțin, operatorii au dezvoltat un instrument pentru a-i ajuta pe cei care implementează malware-ul. Numit StealBit este un troian care facilitează acordarea accesului și exfiltrarea datelor. StealBit este oferit partenerilor LockBit în criminalitate pentru a facilita accesul inițial.

Odată ce accesul este câștigat, LockBit 2.0 se mândrește cu o varietate de instrumente care pot fi utilizate pentru descoperirea rețelei și pentru a dezvălui ce comori a ascuns ținta. Instrumentele includ un scaner de rețea care creează o imagine a rețelei și găsește controlere de domeniu.

De asemenea, folosește mai multe fișiere batch în diverse scopuri, inclusiv terminarea instrumentelor de securitate, activarea conexiunilor RDP, ștergerea jurnalelor de evenimente Windows și asigurarea faptului că procesele cruciale, precum Microsoft Exchange, MySQL și QuickBooks, nu sunt disponibile.

De asemenea, oprește Microsoft Exchange și dezactivează alte servicii conexe. LockBit va utiliza, de asemenea, instrumente legitime, inclusiv Process Hacker și PC Hunter, pentru a ajuta în continuare la descoperirea completă a infrastructurii. Cercetătorii au remarcat,

„Odată ajuns în controlerul de domeniu, ransomware-ul creează noi politici de grup și le trimite către fiecare dispozitiv din rețea. Aceste politici dezactivează Windows Defender și distribuie și execută binarul ransomware către fiecare mașină Windows. ”

Odată ce atacatorul a descoperit tot ce își dorește și a exfiltrat datele, modulul de criptare va fi executat. Victimele pot stabili cu ușurință că au căzut pradă LockBit, deoarece toate fișierele criptate vor avea .lockbit atașat la sfârșitul numelor de fișiere. Apoi, introduce o notă de răscumpărare în fiecare director criptat care amenință să elibereze datele furate dacă răscumpărarea nu este plătită, denumită în mod obișnuit tactica dublă de extorcare.

Ultimul pas pentru LockBit 2.0 este schimbarea imaginilor de fundal ale desktop-ului victimelor într-un anunț de recrutare, doar în cazul în care un angajat nemulțumit dorește să participe la acțiune, care include, de asemenea, instrucțiuni despre modul în care victimele pot plăti răscumpărarea.

Luând inspirație de la alții

LockBit 2.0 s-a inspirat, de asemenea, atât din cât Ryuk, și din Egregor, prin includerea caracteristicilor utilizate de celelalte bande de ransomware. Acestea includ funcția Wake-on-LAN inspirată de ransomware-ul Ryuk, trimiterea pachetului Magic „0xFF 0xFF 0xFF 0xFF 0xFF 0xFF” pentru a trezi dispozitivele offline și tipărirea bombardării notei de răscumpărare pe imprimantele de rețea ale victimei, similar cu tehnica Egregor de atragere a atenția victimei. Folosește API-urile Winspool pentru a enumera și imprima un document pe imprimantele conectate.

Se crede că cei din spatele LockBit au lucrat cu Maze, pionieri ai tacticii de dublă extorcare, și de atunci s-au retras . Anunțul a însemnat că LockBit urma să lucreze singur, dar cu o mulțime de lecții și experiență, în special atunci când vine vorba de dezvoltarea ransomware-ului și de menținerea unui model de afaceri ransomware-as-a-service.

Pentru a atenua împotriva LockBit 2.0, Centrul de Securitate a Internetului și Institutul Național de Standarde și Tehnologie au furnizat o listă cu cele mai bune practici. Acestea includ:

  • Audit și inventar: faceți un inventar al tuturor activelor și datelor organizaționale și identificați dispozitivele, software-ul și personalul autorizat și neautorizat care accesează anumite sisteme. Auditați și monitorizați toate jurnalele de evenimente și incidente pentru a identifica tipare și comportamente neobișnuite.
  • Configurați și monitorizați: gestionați în mod deliberat configurațiile hardware și software și acordați privilegii administrative și acces doar personalului specific atunci când este necesar. Monitorizați utilizarea porturilor de rețea, a protocoalelor și a serviciilor. Implementați configurații de securitate pe dispozitive de infrastructură de rețea, cum ar fi firewall-uri și routere, și aveți o listă de programe software pentru a preveni executarea aplicațiilor rău intenționate.
  • Patch și actualizare: Efectuați evaluări periodice ale vulnerabilității și efectuați corecții regulate sau corecții virtuale pentru sisteme de operare și aplicații. Asigurați-vă că toate software-urile și aplicațiile instalate sunt actualizate la cele mai recente versiuni.
  • Protejați și recuperați: impuneți măsuri de protecție, backup și recuperare a datelor. Implementați autentificarea multifactorială pe toate dispozitivele și platformele utilizate ori de câte ori sunt disponibile.
  • Securizați și apărați: efectuați analize sandbox pentru a examina și a bloca e-mailurile rău intenționate. Utilizați cea mai recentă versiune de soluții de securitate pentru toate straturile sistemului, inclusiv e-mail, punct final, web și rețea. Identificați semnele timpurii ale unui atac, cum ar fi prezența instrumentelor suspecte în sistem și permiteți tehnologii avansate de detectare, cum ar fi cele alimentate cu AI și învățarea automată.
  • Antrenați și testați: Efectuați evaluarea și instruirea abilităților de securitate pentru tot personalul în mod regulat și efectuați exerciții în echipa roșie și teste de penetrare.

Sursa: https://www.pcrisk.com/internet-threat-news/21602-lockbit-20-has-chile-in-its-sights