0
0
O LockBit ransomware está no grupo minoritário de famílias de ransomware que utilizam malware de propagação automática e métodos de criptografia dupla. Após suas violações no gigante da segurança Entrust e na Receita Federal no início deste verão, a LockBit continuou a ganhar notoriedade enquanto procurava sua próxima vítima.
O LockBit ransomware começou sua onda de ataques de alto perfil já em setembro de 2019 e continua sendo um dos grupos mais prolíficos até hoje . Motivado por grandes pagamentos, o grupo não teme mirar em grandes corporações e empresas.
O grupo de ransomware é conhecido por suas qualidades particulares de um método de extorsão tripla, tecnologia sofisticada, ataques cibernéticos de alta gravidade e marketing pesado para afiliados. A presença da LockBit é sentida globalmente, e as indústrias recebem apenas breves momentos de descanso quando o grupo se retira para desenvolver atualizações mais devastadoras para seu kit de ferramentas. Sua frequência e estratégia de ataque tornam o grupo uma força a ser observada no mundo da segurança cibernética, demonstrando sua determinação em causar danos.
LockBit: o resumo
- A LockBit se comercializa como ransomware como serviço (RaaS). Ele funciona em conjunto com outros atores mal-intencionados que realizam ataques contratados e, em seguida, dividem os fundos entre a equipe de desenvolvedores do LockBit e outros cúmplices.
- A família LockBit tem como alvo CVE-2021-22986 e CVE-2018-13379.
- O grupo russo de agentes de ameaças, TA505 (também conhecido como Hive0065) foi observado usando a carga útil do ransomware LockBit em seus ataques.
Novas variantes
As origens do LockBit começaram como um criptovírus ABCD em 2019. Seus principais alvos eram organizações governamentais nas regiões da América do Norte, Europa e APAC e incluíam empresas privadas também, com criptografia como forma de pagamento de resgate.
Os primeiros alvos da LockBit em 2019 e 2020 incluíam sistemas Windows em instituições financeiras e de saúde. O grupo de ransomware então fez um hiato para melhorar seu kit de malware e estratégia de operação. Até o momento, duas versões do LockBit, além da versão inicial, foram lançadas, com cada versão subsequente possuindo recursos de ataque aprimorados.
LockBit 2.0
O LockBit 2.0 foi introduzido em junho de 2021 e foi documentado em ataques em Taiwan, Chile e Reino Unido. Na versão 2.0, o LockBit adicionou a técnica de dupla extorsão e a criptografia automática de hardware nos domínios do Windows pelos quais ficou conhecido. Mais tarde, no outono de 2021, o grupo também começou a se ramificar em servidores Linux, atacando especificamente os servidores ESXi.
LockBit 3.0, também conhecido como LockBit Black
Após outro breve hiato, o LockBit retornou em junho de 2022 com o lançamento de outra versão aprimorada do ransomware, incluindo um programa de recompensas de bugs que incentiva financeiramente os pesquisadores a compartilhar relatórios de bugs. Além do programa, a versão 3.0 inclui pagamentos Zcash e desenvolveu novas táticas de extorsão. Com base na arquitetura encontrada no BlackMatter e no DarkSide, a LockBit agora refinou suas práticas de evasão, execução sem senha e recursos de linha de comando implementados.
O ransomware LockBit atualizado foi usado para atacar e roubar dados da Receita Federal e de um escritório do condado em Ontário, Canadá . Além da criptografia e da ameaça de vazamento de dados, o grupo de ransomware incluiu ataques de negação de serviço para aumentar a pressão sobre as vítimas.
Em uma reviravolta surpreendente, um suposto desenvolvedor do LockBit vazou o construtor do grupo usado para projetar a versão 3.0 no Twitter, citando a frustração com a liderança do grupo como motivação para o vazamento. Um golpe para o grupo, mas um risco potencial para o campo da segurança cibernética, pois as informações vazadas podem equipar novos indivíduos com as ferramentas necessárias para iniciar seu próprio kit de ransomware. Em não mais de uma semana após o vazamento, um novo grupo de ransomware foi observado usando o construtor para atingir empresas.
Quão perigoso é o LockBit?
A LockBit possui um arsenal diversificado de tecnologias e técnicas para ir atrás das maiores organizações, independentemente do setor. Aqui está um instantâneo das ferramentas, táticas e métodos que tornam o LockBit tão perigoso:
- StealBit, uma ferramenta de malware encontrada pela primeira vez na versão 2.0, foi projetada para criptografia e acredita-se ser a ferramenta de criptografia mais eficiente e rápida.
- O StealBit se espalha automaticamente para outros dispositivos conectados em uma rede, aproveitando o Windows PowerShell e o Server Message Block.
- O malware do LockBit agora pode infectar sistemas Windows e Linux quando inicialmente só podia explorar sistemas Windows.
- A criação do programa de recompensas de bugs é a tentativa do grupo de se estabelecer como um grupo profissional de hackers e, ao mesmo tempo, melhorar suas defesas.
- O LockBit 3.0 introduziu opções de pagamento Zcash para cobrança de resgate e para evitar interferência de agências de aplicação da lei.
Como evitar um ataque LockBit
- Limite as permissões desnecessárias: mais restrições nas permissões não são uma má prática para se ter o hábito de aplicar, já que mais níveis de autenticação dificultam que hackers remotos aumentem as permissões e obtenham maior acesso. Preste muita atenção aos usuários com permissões de TI e de nível de administrador.
- Monitore sua superfície de ataque: incorpore uma solução que verifique toda a sua superfície de ataque em busca de possíveis pontos de entrada para invasores. Monitore rotineiramente ativos existentes e recém-adicionados à rede da sua organização.
A liderança em segurança pode manter os invasores afastados cultivando uma cultura de vigilância com processos estruturados de gerenciamento de vulnerabilidades que priorizam as ameaças com base na gravidade e no risco. Apesar dos recursos do LockBit, as organizações têm opções quando se trata de proteger sua organização e parceiros.
FONTE: DARK READING