0
0
A engenharia reversa dos executáveis de ransomware mais recentes do grupo por trás do LockBit mostra que os desenvolvedores adicionaram recursos de outras ferramentas de ataque populares e estão trabalhando ativamente para melhorar os recursos anti-análise do LockBit, de acordo com pesquisadores.
Essa evolução significativa, vista no recém-lançado LockBit 3.0 (também conhecido como LockBit Black), provavelmente visa compensar melhores defesas, um maior escrutínio por pesquisadores e investigadores e competição de outras gangues, de acordo com análises de vários pesquisadores.
“Não há dúvida de que, seja a pressão da lei ou os defensores melhorando, estamos vendo que esses grupos são forçados a evoluir – eles precisam melhorar no que estão fazendo”, diz Jon Clay, vice-presidente de inteligência de ameaças para a Trend Micro.
Eles também precisam acompanhar os Dark-Web Joneses. Para isso, a versão mais recente agora exige uma chave para ofuscar suas principais rotinas e dificulta a engenharia reversa e a análise, por exemplo – uma técnica usada por outras famílias de ransomware, como Egregor, afirmou a empresa de segurança cibernética Trend Micro em um comunicado publicado na terça-feira. A nova versão do programa de ransomware também enumera as interfaces de programação de aplicativos (APIs) disponíveis, um recurso idêntico ao programa de ransomware BlackMatter, afirmou a empresa.
Ataque de ransomware à agência fiscal da Itália
No início deste mês, a Receita Federal da Itália se tornou a mais recente suposta vítima do LockBit , com o grupo se gabando de ter criptografado e exfiltrado 78 gigabytes de arquivos da agência fiscal. Se for verdade, a organização terá que encontrar uma maneira de se recuperar, mas o ataque também ameaça os cidadãos italianos, disse Gil Dabah, cofundador e CEO da empresa de proteção de dados Piiano, por e-mail.
“O segundo tipo de vítima é o indivíduo cujos dados foram comprometidos”, disse ele. “Neste caso, há uma grande chance de que os dados de um contribuinte individual tenham sido comprometidos.”
Após a invasão da Ucrânia pela Rússia, esses grupos de ransomware se comprometeram a apoiar a Rússia e estão enfrentando cada vez mais solicitações para realizar operações contra alvos de estados-nação, diz Paul Martini, CEO da iBoss, fornecedora de soluções de segurança em nuvem.
“A guerra cibernética sombria entre nações que foi realizada por meio de espionagem, campanhas de desinformação e ataques estratégicos a alvos críticos está apenas começando a sair das sombras”, disse ele. “Podemos esperar que isso transborde e o Ocidente precisará de defesas mais fortes para proteger alvos governamentais e civis”.
O grupo por trás do LockBit teve uma boa corrida até agora em 2022. Apesar de uma queda de 18% nos ataques gerais, provavelmente devido à interrupção da infraestrutura por trás do grupo de crimes cibernéticos Conti ou possivelmente devido à invasão da Ucrânia pela Rússia , o LockBit se tornou o mais família de ransomware comumente encontrada, respondendo por 40% de todos os ataques detectados pela empresa de segurança NCC Group em maio.
Mas a evolução é necessária para se manter no topo.
Principais melhorias para LockBit 3.0
As alterações na versão mais recente do LockBit ransomware incluem funções que coletam APIs do sistema como forma de usar funções legítimas como parte de seu ataque e criptografia extensa – embora bastante simples – de dados de configuração e código, de acordo com o comunicado da Trend Micro .
Talvez mais notavelmente, uma grande adição ao LockBit 3.0 seja um conjunto de recursos para desacelerar ou impedir a engenharia reversa. O programa inclui, por exemplo, uma senha necessária para descriptografar o corpo principal do código executável e um recurso que tenta travar os depuradores.
“Eles se orgulham de sua capacidade de atualizar regularmente suas ofertas de ransomware e ransomware como serviço”, diz Clay, da Trend Micro. “Há muito mais recursos de ofuscação no 3.0, e eles colocam muitos recursos que tentam minimizar o quanto analistas e pesquisadores podem descobrir sobre seu código.”
Enquanto isso, a adoção de táticas BlackMatter não é surpreendente, uma vez que tanto o LockBit quanto o BlackMatter são grupos ligados à Rússia e os cibercriminosos estão cada vez mais se movendo entre os grupos.
O básico da defesa contra ransomware ainda funciona
Na maioria das vezes, os novos recursos encontrados no LockBit 3.0 não prejudicam as defesas atuais, diz Clay, da Trend Micro. A autenticação multifator pode bloquear a abordagem mais comum para obter acesso – por meio de credenciais roubadas – enquanto a detecção e resposta de endpoint (EDR) moderna pode detectar, parar e atacar antes que os invasores comecem a criptografar os dados. Por fim, ter um bom processo de backup para dados críticos facilitará a recuperação.
“Eles [grupos de ransomware] afirmam que os backups não ajudarão, mas se você tiver um procedimento adequado, poderá recuperar seus dados”, diz ele. “A boa notícia é que os defensores implementaram muitas dessas melhores práticas e parecem estar funcionando.”
FONTE: DARK READING