0
0
O LockBit é uma das operações mais proeminentes de ransomware como serviço (RaaS) que tem como alvo organizações nos últimos anos. Desde o seu lançamento em 2019, a LockBit evoluiu constantemente, vendo um crescimento sem precedentes recentemente impulsionado pela dissolução de outras gangues de ransomware.
Os criadores da LockBit vendem acesso ao programa de ransomware e sua infraestrutura a cibercriminosos terceirizados conhecidos como afiliados que invadem redes e os implantam em sistemas para um corte de até 75% do dinheiro pago pelas vítimas em resgates. Como a maioria das gangues RaaS semelhantes, a LockBit se envolve em táticas de dupla extorsão, onde seus afiliados também exfiltram dados das organizações vítimas e ameaçam publicá-los on-line.
De acordo com um relatório da empresa de resposta a incidentes de ransomware Coveware, a LockBit foi responsável por 15% dos ataques de ransomware que a empresa viu durante o primeiro trimestre de 2022, perdendo apenas para a Conti com 16%. Em um relatório mais recente, a empresa de segurança cibernética NCC Group informou que a LockBit foi responsável por 40% dos ataques de ransomware que a empresa viu em maio, seguida pela Conti.
Embora o número de incidentes de ransomware tenha diminuído em geral nos últimos meses, é provável que a porcentagem que a LockBit conta aumente, em parte porque acredita-se que a operação da Conti tenha sido fechada ou fragmentada em grupos menores e porque a LockBit está tentando atrair mais afiliados que afirmam oferecer melhores condições do que os concorrentes.
Como o LockBit evoluiu
Esta ameaça de ransomware era originalmente conhecida como ABCD após a extensão de arquivo .abcd que deixou em arquivos criptografados. O programa de afiliados RaaS foi lançado no início de 2020 e o local de vazamento de dados e a adição de extorsão de vazamento de dados foram anunciados no final daquele ano.
A LockBit permaneceu um jogador relativamente pequeno durante seu primeiro ano de operação, com outras gangues de alto nível sendo mais bem-sucedidas e no centro das atenções – Ryuk, REvil, Maze e outros. O ransomware LockBit começou a ganhar mais força no segundo semestre de 2021 com o lançamento do LockBit 2.0 e depois que algumas das outras gangues encerraram suas operações depois de atrair muito calor.
O LockBit 2.0 foi “a variante de ransomware mais impactante e amplamente implantada que observamos em todas as violações de ransomware durante o primeiro trimestre de 2022, considerando os dados do local de vazamento e os dados de casos tratados pelos socorristas de incidentes da Unidade 42”, disseram pesquisadores da Unidade 42 da Palo Alto Networks em um relatório. O site LockBit 2.0 que a gangue usa para publicar dados de organizações cujas redes eles violaram lista 850 vítimas, mas a gangue afirma que resgataram mais de 12.125 organizações até agora.
O grupo também afirma que o ransomware LockBit 2.0 tem a rotina de criptografia mais rápida, o que é apenas parcialmente verdadeiro, de acordo com testes de pesquisadores da Splunk. O LockBit 1.0 e um programa de ransomware conhecido como PwndLocker parecem ser mais rápidos do que o LockBit 2.0, mas a rotina de criptografia ainda é muito rápida, em parte porque essas ameaças realizam criptografia parcial. O LockBit 2.0, por exemplo, criptografa apenas os primeiros 4 KB de cada arquivo, o que é suficiente para torná-los ilegíveis e inutilizáveis, ao mesmo tempo em que permite que o ataque seja concluído muito rapidamente antes que os socorristas de incidentes tenham tempo de desligar os sistemas e isolá-los da rede.
Como o LockBit seleciona e tem como alvo as vítimas?
Como muitos afiliados distribuem o LockBit, os vetores de acesso que eles usam são variados: desde e-mails de spear-phishing com anexos maliciosos até a exploração de vulnerabilidades em aplicativos voltados publicamente e uso de credenciais VPN e RDP roubadas. Os afiliados da LockBit também são conhecidos por comprar acesso de outras partes.
De acordo com uma entrevista pública de 2021 com um suposto membro da gangue LockBit, o grupo tem uma política contra o direcionamento de organizações que operam nos setores de saúde, educação, caridade e serviços sociais. No entanto, os afiliados da LockBit não seguiram essas diretrizes em alguns casos e atacaram organizações de saúde e educação, alertaram os pesquisadores de Palo Alto.
Com base nos dados do site de vazamento de dados da LockBit, quase metade das organizações vítimas eram dos EUA, seguidas pela Itália, Alemanha, Canadá, França e Reino Unido. O foco nas organizações norte-americanas e europeias se deve à maior prevalência de seguro cibernético nessas regiões, bem como a maiores receitas, disse o membro da gangue LockBit na antiga entrevista. As verticais da indústria mais impactadas foram serviços profissionais e jurídicos, construção, governo federal, imóveis, varejo, alta tecnologia e manufatura. O malware também contém código que impede sua execução em sistemas com configurações de idioma da Europa Oriental.
Também vale a pena notar que a gangue LockBit desenvolveu um programa de malware separado chamado StealBit que pode ser usado para automatizar a exfiltração de dados. Esta ferramenta faz o upload dos dados diretamente para os servidores do LockBit em vez de usar serviços públicos de hospedagem de arquivos que podem excluir os dados após reclamações das vítimas. A gangue também desenvolveu uma ferramenta chamada LockBit Linux-ESXi Locker para criptografar servidores Linux e máquinas virtuais VMware ESXi.
A quantidade de tempo que os atacantes LockBit passam dentro de uma rede antes de implantar o ransomware diminuiu ao longo do tempo de cerca de 70 dias no quarto trimestre de 2021 para 35 dias no primeiro trimestre de 2022 e menos de 20 dias no segundo trimestre de 2022. Isso significa que as organizações têm menos tempo para detectar as intrusões de rede em seus estágios iniciais e impedir que o ransomware seja implantado. A vontade dos atacantes de negociar e reduzir o valor do resgate também diminuiu de acordo com a Palo Alto Networks. No ano passado, os atacantes estavam dispostos a reduzir o valor do resgate em mais de 80%, enquanto agora as vítimas só podem esperar uma queda de 30% no preço em média.
Como o LockBit realiza o movimento lateral e a execução da carga útil?
Depois de obter o acesso inicial às redes, os afiliados da LockBit implantam várias ferramentas para expandir seu acesso a outros sistemas. Essas ferramentas envolvem despejos de credenciais como Mimikatz; ferramentas de escalonamento de privilégios como ProxyShell, ferramentas usadas para desativar produtos de segurança e vários processos, como GMER, PC Hunter e Process Hacker; scanners de rede e porta para identificar controladores de domínio de diretório ativo, ferramentas de execução remota como PsExec ou Cobalt Strike para movimento lateral. A atividade também envolve o uso de scripts ofuscados do PowerShell e em lote e tarefas agendadas desonestas para persistência.
Uma vez implantado, o ransomware LockBit também pode se espalhar para outros sistemas por meio de conexões SMB usando credenciais coletadas, bem como usando políticas de grupo do Active Directory. Quando executado, o ransomware desativará as cópias de sombra do volume do Windows e excluirá vários registros de sistema e segurança.
O malware coleta informações do sistema, como nome do host, informações de domínio, configuração da unidade local, compartilhamentos remotos e dispositivos de armazenamento montados e, em seguida, começará a criptografar todos os dados nos dispositivos locais e remotos que ele pode acessar. No entanto, ele ignora arquivos que impediriam o sistema de funcionar. No final, ele solta uma nota de resgate alterando o papel de parede da área de trabalho do usuário com informações sobre como entrar em contato com os atacantes.
A rotina de criptografia de arquivos usa AES e com uma chave gerada localmente que é criptografada usando uma chave pública RSA. O malware criptografa apenas os primeiros 4 KB de cada arquivo e anexa a extensão “.lockbit” a eles.
O FBI emitiu um alerta público sobre o LockBit em fevereiro que contém indicadores de compromisso retirados de incidentes investigados no campo, bem como recomendações para organizações.
LockBit 3.0 e seu programa de recompensa de bugs
Em junho, os criadores da LockBit anunciaram a versão 3.0 de seu programa de afiliados e malware depois de tê-lo em testes beta por dois meses. A gangue também lançou um programa de recompensa de bugs que oferece entre US$ 1.000 e US$ 1 milhão para vulnerabilidades tanto no programa de ransomware quanto na infraestrutura da gangue, como seu site hospedado pelo Tor, messenger seguro e muito mais.
A gangue chegou ao ponto de lançar um desafio de US$ 1 milhão para qualquer um que consiga descobrir a identidade da pessoa que administra seu programa de afiliados, essencialmente pedindo que seu membro de mais alto escalão fosse doxxed. Esta não é a primeira vez que a LockBit se envolve em práticas incomuns. Suas notas de resgate incluem ofertas financeiras para informantes que podem fornecer acesso a redes e organizações, e seu programa de recompensa de bugs também oferece recompensas por ideias sobre como melhorar a operação, o software e a infraestrutura do ransomware que a gangue ainda não considerou.
Embora as mudanças técnicas no próprio LockBit 3,0, as capturas de tela compartilhadas pela LockBit sugerem que a criptomoeda Zcash será aceita para pagamentos de resgate junto com Bitcoin e Monero na nova versão. A adição do Zcash pode ser uma tentativa de tornar os pagamentos mais difíceis de rastrear.
De acordo com os pesquisadores de Palo Alto, a adição do programa de recompensa de bugs pode ter sido impulsionada por pesquisadores que encontraram um bug no LockBit 2.0 que permitiu a reversão do processo de criptografia nos bancos de dados MSSQL.
No início de junho, a empresa de segurança cibernética Mandiant divulgou um relatório conectando algumas intrusões da LockBit a um ator de ameaças rastreado como UNC2165 que usou o ransomware Hades no passado e tem uma atividade significativa sobreposta à Evil Corp, um notório grupo de cibercriminosos que está na lista de entidades sancionadas do Departamento do Tesouro. A Evil Corp é responsável pela criação do botnet Dridex, do ransomware WastedLocker e de outras ameaças no passado, e o envio de pagamentos de resgate para cibercriminosos associados a ele viola as sanções.
“A adoção de um ransomware existente é uma evolução natural para a UNC2165 tentar obscurecer sua afiliação com a Evil Corp”, disseram os pesquisadores da Mandiant. “Tanto a proeminência do LockBit nos últimos anos quanto seu uso bem-sucedido por vários clusters de ameaças diferentes provavelmente tornaram o ransomware uma escolha atraente. O uso desse RaaS permitiria que o UNC2165 se misturasse com outros afiliados, exigindo visibilidade dos estágios anteriores do ciclo de vida do ataque para atribuir adequadamente a atividade, em comparação com operações anteriores que podem ter sido atribuíveis com base no uso de um ransomware exclusivo.”
A gangue LockBit mais tarde descartou essas conexões como falsas e divulgou um comunicado dizendo que não tem nada a ver com a Evil Corp e seu suposto líder Maxim Yakubets, que está na lista Cyber’s Most Wanted do FBI.
FONTE: CSO ONLINE