LockBit 2.0 -ransomware -angreb stiger globalt
Sikkerhedsforskere har set en stigning i angreb ved hjælp af den nyeste version af LockBit ransomware, med nye ofre i Sydamerika, Asien og Europa.
Vi har tidligere dækket LockBit 2.0 -angrebet, der med succes målrettede det enorme konsulentfirma Accenture, hvor trusselsaktører angiveligt bad om 50 millioner dollars i løsesum, ifølge nogle analytikere og angiveligt stjal omkring 6 TB følsomme Accenture -data. Konsulentfirmaet oplyste, at der ikke var nogen væsentlig indvirkning fra angrebet, systemer blev hurtigt låst og påvirkningen var minimal, og data blev gendannet med succes fra sikkerhedskopier.
De nye angreb kommer i kølvandet på løsepenge -hit på Accenture. Forskere rapporterer angreb på enheder i Taiwan, Storbritannien og Chile. Den nye version af ransomware bruger angiveligt en forbedret kryptering med flere tråde og kan prale af en af de hurtigste krypteringsmetoder i feltet. Det ser også ud til, at LockBit 2.0 kun krypterer en meget lille del af hver fil, den krypterer, med kun en 4 kilobyte del af hver fil, der bliver krypteret, hvilket fremskynder processen betydeligt.
Trusselsaktøren bag LockBit eksperimenterer også med nye social engineering -taktikker. Hackerne forsøger at komme igennem til virksomhedens medarbejdere og bestikke dem til samarbejde. Der er rapporter om malware, der ændrer medarbejderbaggrunde, reklameudbetalinger i millioner af dollars for arbejdsoplysninger, der gør det muligt for hackere at infiltrere målorganisationen.
Når LockBit 2.0 finder sin vej på et netværk, har den et varieret arsenal af værktøjer til rådighed. Der er en netværksscanner, der adskiller domænecontrollere samt en række .bat-filer, der omfatter automatisering til et stort antal opgaver, herunder aktivering af RDP, nedlukning af anti-malware eller sikkerhedssoftware og skylning af hændelseslogfiler for at minimere malware's fodspor.
Efter at have etableret sine grundlæggende rutiner, begynder LockBit at bevæge sig sideværts på tværs af offernetværket og starter med at sende nye gruppepolitikker til tilsluttede enheder. Disse politikker sørger for at lukke Windows Defender af og derefter sprede og udføre nyttelasten på hver fundet Windows -enhed.
Når kryptering finder sted, erstattes skrivebordsbilledet med rekrutteringsmeddelelsen beskrevet ovenfor, de sædvanlige løsepengeinstruktioner og truslen om, at allerede krypterede filer kan frigives til offentligheden, hvis løsesum ikke betales.
Forskere har også opdaget nogle ligheder i adfærden hos LockBit 2.0 og andre berygtede ransomware -stammer som Ryuk og Egregor, hvilket indikerer i det mindste delvis kodeoverlapning.
