LockBit Ransomware-skuespillere har tjent over 90 millioner dollars siden 2020

LockBit, en berygtet ransomware-as-a-service (RaaS) operation, har formået at afpresse svimlende 91 millioner dollars fra forskellige amerikanske organisationer gennem hundredvis af angreb siden 2020. En fælles bulletin udgivet af flere internationale myndigheder, herunder den amerikanske cybersikkerhed og infrastruktur Security Agency (CISA) og FBI kaster lys over omfanget af skaderne forårsaget af LockBit.

Bulletinen afslører, at LockBit fungerer som en RaaS, der lokker tilknyttede selskaber til at udføre ransomware-angreb ved hjælp af deres platform. Dette har ført til et netværk af forskellige trusselsaktører, der udfører forskellige typer angreb. LockBit, som dukkede op i slutningen af 2019, har bevaret sin forstyrrende og produktive karakter, med statistikker fra Malwarebytes, der indikerer, at det målrettede op til 76 ofre alene i maj 2023. Ransomware-banden, der menes at have forbindelser til Rusland, har påtaget sig ansvaret for over 1.653 ransomware-angreb til dato.

LockBit har ikke skånet nogen kritisk infrastruktursektor, rettet mod industrier som finans, landbrug, uddannelse, energi, regering, sundhedspleje, fremstilling og transport. Den har gennemgået betydelige opgraderinger, herunder LockBit Red i juni 2021, LockBit Black i marts 2022 og LockBit Green i januar 2023, hvoraf sidstnævnte er baseret på lækket kildekode fra den demonterede Conti-bande. Ransomware har også udvidet sin rækkevidde til at målrette mod Linux, VMware ESXi og Apple macOS-systemer, hvilket gør det til en trussel i konstant udvikling.

LockBits forretningsmodel involverer leasing af deres ransomware-værktøjer til tilknyttede selskaber, der udfører angrebene og afpresningsoperationerne. Usædvanligt tillader gruppen datterselskaber at modtage løsesumsbetalinger direkte, før de deler en del med kerneudviklerne.

LockBit udnytter forskellige sårbarheder

Angrebene orkestreret af LockBit har udnyttet sårbarheder i forskellige systemer, herunder nyligt afslørede fejl i Fortra GoAnywhere Managed File Transfer (MFT) og PaperCut MF/NG-servere. Derudover er kendte sårbarheder i Apache Log4j2, F5 BIG-IP og BIG-IQ og Fortinet-enheder blevet udnyttet til indledende adgang.

LockBit-tilknyttede selskaber har brugt over tre dusin freeware og open source-værktøjer til at udføre netværksrekognoscering, etablere fjernadgang, udføre legitimationsdumping og eksfiltrere filer. Det er bemærkelsesværdigt, at legitim red team-software som Metasploit og Cobalt Strike også er blevet misbrugt i disse indtrængen.

LockBits succes kan tilskrives dets konstante innovation, især dets brugervenlige administrative panel, der forenkler implementering af ransomware for personer med begrænset teknisk ekspertise. Gruppen reviderer løbende sine taktikker, teknikker og procedurer (TTP'er) for at være på forkant.

Som svar på truslen udstedte CISA et bindende operationelt direktiv, der instruerede føderale agenturer om at sikre netværksenheder, der er udsat for det offentlige internet, og minimere angrebsoverfladen. Dette direktiv har til formål at mindske risikoen for, at trusselsaktører udnytter netværksenheder til at få ubegrænset adgang til organisatoriske netværk.

Desuden fremhævede en nylig rådgivning de potentielle risici forbundet med Baseboard Management Controller (BMC) implementeringer, som kunne give trusselsaktører fodfæste og præ-boot eksekveringskapaciteter.