Da Rússia com… LockBit Ransomware: Inside Look & Preventive Solutions

Views: 718
0 0
Read Time:12 Minute, 26 Second

Uma entrevista recente com um representante da gangue de ransomware LockBit cumpre seu propósito de promover o sindicato e atrair novos talentosos testadores de caneta. Ele enfatizou todos os recursos técnicos deste ransomware e sua vantagem competitiva contra outros grupos, bem como promoveu os esforços relatados da LockBit para proteger suas afiliadas.

Esta entrevista é muito mais do que apenas mais uma promoção de ransomware embebida em política, sugere as relações implícitas entre os operadores de ransomware e o sistema político russo. Quem são esses operadores de ransomware castas intocáveis ou peões de regime? A dica está apenas certifique-se de ler atentamente nas entrelinhas.

Fonte: Entrevista russa com o Canal LockBit do YouTube OSINT

“Dinheiro (ganância) bate o mal”

Principais conclusões

  • Em uma entrevista recente de um canal de blog de tecnologia de língua russa no YouTube “Russian OSINT”, publicado em 23 de agosto de 2021 (em russo), o representante do grupo de ransomware LockBit 2.0 compartilhou insights de suas operações e suas opiniões sobre o negócio de ransomware em geral.
  • Tais entrevistas são comumente armadas pelos sindicatos RaaS e crimes cibernéticos para servir como uma prática de relações públicas, a fim de atrair novas afiliadas, intimidar o público e promover suas características técnicas avançadas.
  • O alcance público da LockBit provavelmente pretendia fortalecer a posição da mídia do sindicato e garantir a confiança de possíveis afiliadas, promovendo supostos padrões morais e de negócios de alto nível reivindicados por este grupo.
  • Uma entrevista tem tons políticos claros, pois abrange vários aspectos, como a preferência da vítima dos sindicatos e o reflexo da agenda geopolítica atual, especificamente – as relações EUA-Rússia. A retórica e a postura pública do sindicato têm semelhanças claras com a atual mensagem política propagada pelo estado russo.

Histórico

Ransomware se tornou o principal jogador dentro do jogo de tabuleiro cibergeopolítico. O segmento em russo da comunidade ransomware claramente domina o mercado sombrio, bem como as primeiras páginas da mídia mundial. Um grupo de ransomware relativamente novo, LockBit 2.0, se juntou à arena do cibercrime em julho de 2021 e tem um alto potencial de se tornar o principal sindicato extorsionário, reunindo hackers talentosos para alcançar objetivos com fins lucrativos ou até políticos.

Em 23 de agosto de 2021, um canal de blog de tecnologia de língua russa no YouTube “Russian OSINT” publicou uma entrevista com os representantes da LockBit descobrindo detalhes de suas operações. Entrevistas na mídia se tornaram rotina para sindicatos de ransomware e ocorreram em grande número no ano passado em várias plataformas, atingindo o público de língua russa e inglesa. Construir relações públicas é uma parte essencial do modelo de negócios de ransomware, pois é usado não apenas para expandir os negócios, mas também atrair testadores de caneta talentosos.

Análise Investigativa

A AdvIntel resume 5 pontos essenciais da entrevista com o representante LockBit 2.0 e descobre a interpretação por trás de suas palavras.

1. Operações

“Ninguém pode nos vencer quando se trata da velocidade de criptografia e exfiltração de dados, além do nível de automação com a distribuição e criptografia serem processadas. Tudo o que é preciso é uma execução em um controlador de domínio e toda a rede corporativa é criptografada no menor tempo possível.”

Ao listar suas características técnicas, o sindicato espera atrair os hackers mais talentosos para enriquecer sua equipe com testadores de caneta sofisticados. Tempo é dinheiro na mente dos operadores de ransomware – um dia útil é tudo o que é preciso para fazer com que a rede de uma vítima seja refém, dizem eles.

O representante LockBit 2.0 afirma que seu ransomware tem os recursos técnicos mais avançados, permitindo que ele se destaque entre seus concorrentes. Os recursos declarados incluem:

1) a velocidade de criptografia mais rápida e exfiltração de dados

2) processo automatizado de distribuição e criptografia.

3) Exfiltração imediata de dados

De acordo com o representante, é preciso uma corrida para criptografar toda a rede da vítima no menor tempo possível. Além disso, os afiliados não precisam mais mexer com servidores e armazenamento em nuvem e “perder tempo em rotinas de rede tediosas, perdendo dados posteriormente após a primeira reclamação ao provedor de nuvem”. Todos os dados da vítima estão sendo armazenados em seu site de vazamento de dados, onde cada arquivo pode ser baixado separadamente.

LockBit fez referência ao uso do BitDefender como solução contra ataques de ransomware. Ao mesmo tempo, sabe-se que os grupos ransomware estão focados em contornar essa ferramenta, incluindo o uso da Ferramenta Oficial de Desinstalação Bitdefender para desativar as defesas

Outra capacidade ofensiva amplamente discutida que LockBit pode ter, mas que não foi mencionada na entrevista, é a contratação de insider. Nas discussões clandestinas (incluindo a da imagem acima), os atores relataram que, para os ataques de alto nível, incluindo o incidente da Accenture, a LockBit tem usado insiders para iniciar a operação.

Fonte: (fóruns subterrâneos em russo)

2. Vitimologia

“Não atacamos instituições de saúde e educação, bem como serviços sociais e instituições de caridade. Qualquer coisa que contribua para o desenvolvimento dos seres humanos e sua segurança permanece intocada.”

De fato, os sindicatos de ransomware afirmam se preocupar com a moral e promover um alto nível de moralidade para futuras vítimas. No entanto, como visto por inúmeros exemplos de outros grupos, o mais importante, DarkSide, REvil e BlackMatter, tais “agendas morais” nunca vão além de frases extravagantes. LockBit provavelmente não é exceção.

Na realidade, impulsionar a agenda de “responsabilidade social” é apenas mais um ponto para o sindicato, a fim de marcar pontos de alta reputação e estabelecer uma imagem positiva – tanto quanto possível – de um parceiro de negócios com altos valores para facilitar as negociações. “Valorizamos nossa reputação e destruímos todos os dados da vítima se o resgate for pago, garantindo total confidencialidade do negócio”, acrescentam.

A maior parte da vitimologia RaaS são corporações com fins lucrativos, pois são percebidas como vítimas que pagam grandes resgates sem causar reações sociais e políticas maciças.

Um ataque “alto” (coberto pela mídia) é ruim para a empresa porque lhes causa perdas de reputação. Um ataque silencioso é bom para ambos a empresa e para o nosso dinheiro.

Dito isto, exceto pelas defesas adequadas de segurança cibernética, nada salva indústrias críticas, como saúde e educação, de um ataque de ransomware.

Fonte: Entrevista russa com o Canal LockBit do YouTube OSINT

3. Estrutura Interna e Afiliados

“Nosso programa permite que os afiliados lidem com processos de negociação com empresas criptografadas. Assim, não estamos enganando ninguém por dinheiro como Avaddon, DarkSide e REvil fizeram.”

Ao abordar o conjunto de altos padrões de negócios, o representante enfatiza uma série de incidentes dentro das operações de ransomware que causaram uma reação da comunidade clandestina. Avaddon, DarkSide e REvil realmente realizaram golpes de saída ou enganaram seus próprios afiliados interferindo nas negociações entre a vítima e o afiliado e sequestrando o pagamento de resgate de um afiliado. Vale ressaltar como a LockBit tenta lidar com a desconfiança da RaaS criada por esses três grupos e pacificar os medos das afiliadas.

De acordo com o representante, a partir de agora, o pagamento de resgate da LockBit é feito inteiramente nas carteiras do afiliado. O afiliado então transfere 20% do pagamento para a liderança da LockBit. Isso, por sua vez, ajudará a melhorar os relacionamentos com afiliados futuros e existentes e reabilitar a reputação de ransomware em toda a comunidade clandestina.

O infográfico reflete um esquema que, de acordo com os cibercriminosos, é usado por empresas de segurança cibernética e foi mencionado pelo representante do LockBit 2.0. De acordo com a LockBit, as empresas de resposta a incidentes obtêm lucro obtendo uma chave de decodificação por um preço mais baixo em comparação com um resgate solicitado à vítima, mantendo assim a diferença em seus bolsos.

Fonte: Entrevista russa com o Canal LockBit do YouTube OSINT

4. Ambiente Operacional e Estratégia

Embora os sindicatos de ransomware neguem repetidamente quaisquer alegações de cooperação com o estado (principalmente o estado russo), as palavras do representante da LockBit surpreendentemente se correlacionam com a retórica das autoridades russas que é ativamente propagada na mídia local.

“Os Estados Unidos da América foram fundados por invasores estrangeiros que exterminaram a população nativa do continente e violam regularmente os direitos humanos até hoje.uma razão pela qual o movimento BLM existe nos EUA. Além disso, os Estados Unidos são essencialmente uma prensa de impressão (dinheiro) e, como resultado, se comportam como se fossem os mestres do mundo.”

Tais declarações são difundidas em todos os meios de comunicação russos. Armar o assunto das tensões raciais nos EUA tem sido praticado religiosamente até mesmo pelo início do Soviete e pela propaganda. Assim como seu antecessor socialista hoje, o estado russo se concentra intencionalmente nessa narrativa para encobrir grandes falhas de seu próprio sistema judicial e violações contínuas dos direitos humanos. Ao mesmo tempo, a propaganda estatal russa se refere ao papel de liderança dos EUA nas finanças globais para justificar as dificuldades da crise econômica interna.

O representante da LockBit foi o primeiro membro da comunidade cibercriminosa, que tradicionalmente é muito apolítica, que começou a reiterar publicamente esses conceitos-chave da narrativa do regime.

Além disso, de acordo com a mídia russa, os Estados Unidos continuam sendo o principal inimigo e até mesmo uma ameaça ao mundo. A última observação da mídia russa demonstra um aumento nas discussões centradas no domínio cibernético e na guerra cibernética. Respondendo às crescentes tensões geopolíticas, os canais de mídia estatal russos pressionam a agenda para negar qualquer envolvimento do governo ou aparato de segurança na atividade cibercriminosa. A mídia estatal também está ocupando o horário nobre com relatórios alarmistas prevendo possíveis ataques cibernéticos vindos dos EUA.

LockBit também transfere essa narrativa afirmando:

“O Ocidente apresenta a Rússia como um invasor e como o inimigo comum. Portanto, é essencial que o Ocidente, aproveite qualquer oportunidade, acuse a Rússia de quaisquer pecados mortais, a fim de formar uma opinião negativa sobre esse inimigo principal. Como resultado, não absolutamente nenhuma necessidade (para o Ocidente) de fundamentar ou apoiar essas acusações. O Ocidente também se comporta da mesma maneira com a China.”

Fonte: Entrevista russa com o Canal LockBit do YouTube OSINT

5. Segurança

“A única maneira de sentir a pressão do aparelho de segurança é quando eles estão à sua porta rompendo fisicamente sua porta ou sua janela. É impossível (para serviços de segurança) nos pressionar ou intimidar por qualquer outro meio.”

O fato de o grupo alegar que não tem medo de ser preso pela aplicação da lei não indica cooperação direta com o governo. No entanto, tal abordagem implica que as atividades da RaaS podem estar totalmente alinhadas com a agenda estatal russa, desde que os atores sigam a ordem. A regra ainda é a mesma – para os países da CEI na lista branca (A Comunidade de Estados Independentes) – exceto para a Ucrânia e os Bálticos. Esta lista também está sendo estendida aos parceiros do estado que compartilham interesses geopolíticos ou econômicos, por exemplo, Turquia, Síria, Irã e China. Enquanto os sindicatos de ransomware cumprirem essas regras, não há incentivo para a aplicação da lei russa perseguir os cibercriminosos, pois eles tecnicamente operam “fora” das fronteiras do país.

Além disso, a Rússia não tem tratado de extradição com os Estados Unidos, enquanto os dois estados enfrentam uma falta de cooperação em segurança impulsionada por questões geopolíticas que levam a disputas sobre extradição. Não é surpreendente, portanto, que o representante declare:

“Nós nos beneficiamos da atitude hostil do Ocidente (em relação à Rússia). Isso nos permite realizar negócios tão agressivos e operar livremente dentro das fronteiras dos antigos países soviéticos (CEI).”

Apesar da chamada liberdade, o representante admite que suas ações trazem muito estresse à sua vida. De fato, do lado de fora, o negócio de ransomware pode parecer um filme de ação de gângster, a única diferença é que, na realidade, há vida e liberdade em jogo. “Eu não durmo muito bem à noite”, disse o representante da LockBit e eles provavelmente têm uma boa razão para dizer isso. Os recentes eventos geopolíticos – o mais importante é que a cúpula Rússia-EUA colocou o ransomware no centro das atenções. Com a pressão contínua do governo presidente Biden contra ameaças cibernéticas originárias da região, o subterrâneo russo vem experimentando ondas de paranóia. Os grupos cibercriminosos estão tentando manter um perfil discreto para evitar uma queda pela aplicação da lei russa – uma queda que o regime pode usar para reforçar suas negociações com os EUA.

Conclusão

As entrevistas RaaS se tornaram uma prática normal para as empresas de ransomware demonstrarem seu poder de atrair novos afiliados e intimidar o público. A entrevista LockBit é única, pois tem um contexto político claro que se correlaciona com a narrativa do estado russo.

Ao mesmo tempo, essas interações públicas são, o mais importante, uma tentativa de lidar com a crise de confiança pública que a RaaS está enfrentando com suas próprias afiliadas – atuais ou prospectivas. Golpes de saída e desaparecimentos de grandes sindicatos, como REvil, fazem do LockBit um dos principais jogadores do campo e exigem que a gangue forneça uma mensagem positiva.

Um comentário deixado por um dos membros da comunidade de crimes cibernéticos no dia da publicação da entrevista destacando as principais falhas nas atividades da LockBit

Fonte: (fóruns subterrâneos em russo)

Apesar de uma declaração política clara envolvida, toda a probabilidade do espetáculo se originou como a tentativa de LockBit de remodelar as lutas internas de poder e melhorar a imagem dentro da comunidade clandestina. Uma melhoria que o grupo definitivamente precisa.

Mitigações e Recomendações

  • O LockBit 2.0 é conhecido por explorar ativamente aplicativos voltados para o público. Portanto, monitorar os desfechos deve ser a primeira estratégia de mitigação. O grupo prefere especificamente os seguintes desfechos de infraestrutura:
  • VPN Corporativa – especialmente Citrix/FortiNET
  • RDPs expostos externamente
  • Como um grupo de ransomware de primeira linha, a LockBit provavelmente investiga CVEs recentes, incluindo ProxyLogon e exposição ao Microsoft Exchange. É necessário monitorar endpoints expostos e aplicar patches de endereçamento CVE.
  • LockBit prioriza a investigação de rede, o que lhes permite roubar dados confidenciais. Portanto, interromper os movimentos da rede através da criação de segmentos segregados de rede, hierarquia de acesso clara e segurança adicional para diretório ativo, administrador de domínio e domínios locais pode complicar significativamente suas operações.
  • A autenticação multifatorial é necessária para proteger as contas dos funcionários da obtenção de credenciais de conta por atores que podem ser usadas para escalonar privilégios e se mover lateralmente dentro da rede.
  • Sugere-se realizar backups diários e mantê-los offline para evitar a perda de dados.

IoCs

Hashes de Arquivos

Sha256 – 0545f842ca2eb77bcac0fd17d6d0a8c607d7dbc8669709f3096e5c1828e1c049

URLs

hxxp://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd[.]cebola

hxxp://lockbitsap2oaqhcun3syvbqt6n5nzt7fqosc6jdlmsfleu3ka4k2did[.]onion

hxxp://lockbitsup4yezcd5enk5unncx3zcy7kw6wllyqmiyhvanjj352jayid[.]onion

T1562.001: Prejudique as defesas: desative ou modifique ferramentas

T1070.001: Remoção de indicadores no host: limpar Registros de Eventos do Windows

T1041: Exfiltração sobre o Canal C2

T1486: Dados criptografados para impacto

T1489: Parada de serviço

T1490: Inibir Recuperação do Sistema

FONTE: ADVINTEL

POSTS RELACIONADOS