Οι επιθέσεις LockBit 2.0 Ransomware αυξάνονται παγκοσμίως
Οι ερευνητές ασφαλείας έχουν εντοπίσει μια αύξηση των επιθέσεων χρησιμοποιώντας την τελευταία έκδοση του ransomware LockBit, με νέα θύματα στη Νότια Αμερική, την Ασία και την Ευρώπη.
Έχουμε καλύψει στο παρελθόν την επίθεση LockBit 2.0 που στόχευσε με επιτυχία τεράστια εταιρεία συμβούλων Accenture, με τους φορείς απειλών να φέρονται να ζητούν λύτρα 50 εκατ. Δολαρίων, σύμφωνα με ορισμένους αναλυτές, και υποτίθεται ότι έκλεψαν περίπου 6 TB ευαίσθητων δεδομένων Accenture. Η εταιρεία συμβούλων δήλωσε ότι δεν υπήρξε σημαντικός αντίκτυπος από την επίθεση, τα συστήματα έκλεισαν γρήγορα και ο αντίκτυπος ήταν ελάχιστος, με τα δεδομένα να αποκαθίστανται επιτυχώς από αντίγραφα ασφαλείας.
Οι νέες επιθέσεις έρχονται στον απόηχο του λύτρου στο Accenture. Οι ερευνητές αναφέρουν επιθέσεις σε οντότητες που βρίσκονται στην Ταϊβάν, το Ηνωμένο Βασίλειο και τη Χιλή. Σύμφωνα με πληροφορίες, η νέα έκδοση του ransomware χρησιμοποιεί βελτιωμένη κρυπτογράφηση πολλαπλών νημάτων, με μια από τις ταχύτερες μεθόδους κρυπτογράφησης στον τομέα. Φαίνεται επίσης ότι το LockBit 2.0 κρυπτογραφεί μόνο ένα πολύ μικρό μέρος κάθε αρχείου που ανακατεύει, με μόνο ένα κομμάτι 4 κιλομπάιτ από κάθε αρχείο να κρυπτογραφείται, πράγμα που επιταχύνει σημαντικά τη διαδικασία.
Ο απειλητικός ηθοποιός πίσω από το LockBit πειραματίζεται επίσης με νέες τακτικές κοινωνικής μηχανικής. Οι χάκερ προσπαθούν να περάσουν από τους υπαλλήλους της εταιρείας και να τους δωροδοκήσουν για συνεργασία. Υπάρχουν αναφορές για κακόβουλο λογισμικό που αλλάζει ταπετσαρίες εργαζομένων, διαφημιστικές πληρωμές εκατομμυρίων δολαρίων για διαπιστευτήρια εργασίας που θα επιτρέψουν στους χάκερ να διεισδύσουν στον οργανισμό -στόχο.
Μόλις το LockBit 2.0 βρει τον δρόμο του σε ένα δίκτυο, έχει στη διάθεσή του ένα ποικίλο οπλοστάσιο εργαλείων. Υπάρχει ένας σαρωτής δικτύου που ξεχωρίζει ελεγκτές τομέα, καθώς και μια σειρά αρχείων .bat που περιλαμβάνουν αυτοματοποίηση για μεγάλο αριθμό εργασιών, συμπεριλαμβανομένης της ενεργοποίησης του RDP, τερματισμού τυχόν λογισμικού προστασίας από κακόβουλο λογισμικό ή ασφάλειας και έκπλυσης αρχείων καταγραφής συμβάντων για ελαχιστοποίηση του κακόβουλου λογισμικού ίχνος.
Αφού καθορίσει τις βασικές του ρουτίνες, το LockBit αρχίζει να κινείται πλευρικά στο δίκτυο του θύματος, ξεκινώντας με την αποστολή νέων πολιτικών ομάδας σε συνδεδεμένες συσκευές. Αυτές οι πολιτικές φροντίζουν για την απενεργοποίηση του Windows Defender, τη διάδοση και την εκτέλεση του ωφέλιμου φορτίου σε κάθε συσκευή Windows που βρέθηκε.
Μόλις λάβει χώρα η κρυπτογράφηση, η εικόνα της επιφάνειας εργασίας αντικαθίσταται με το μήνυμα πρόσληψης που περιγράφεται παραπάνω, τις συνήθεις οδηγίες λύτρων και την απειλή ότι ήδη κρυπτογραφημένα αρχεία ενδέχεται να απελευθερωθούν στο κοινό σε περίπτωση που δεν καταβληθούν λύτρα.
Οι ερευνητές έχουν επίσης εντοπίσει ορισμένες ομοιότητες στις συμπεριφορές του LockBit 2.0 και άλλων διαβόητων στελεχών ransomware όπως το Ryuk και το Egregor, υποδεικνύοντας τουλάχιστον μερική επικάλυψη κώδικα.
