Οι ηθοποιοί LockBit Ransomware κέρδισαν πάνω από 90 εκατομμύρια δολάρια από το 2020

Το LockBit, μια διαβόητη επιχείρηση ransomware-as-a-service (RaaS), κατάφερε να αποσπάσει ένα εκπληκτικό ποσό 91 εκατομμυρίων δολαρίων από διάφορους οργανισμούς των ΗΠΑ μέσω εκατοντάδων επιθέσεων από το 2020. Ένα κοινό δελτίο που δημοσιεύτηκε από πολλές διεθνείς αρχές, συμπεριλαμβανομένης της Κυβερνοασφάλειας και της Υποδομής των ΗΠΑ Η Υπηρεσία Ασφαλείας (CISA) και το FBI, έριξαν φως στην έκταση της ζημιάς που προκάλεσε το LockBit.

Το δελτίο αποκαλύπτει ότι το LockBit λειτουργεί ως RaaS, προσελκύοντας συνεργάτες να πραγματοποιούν επιθέσεις ransomware χρησιμοποιώντας την πλατφόρμα τους. Αυτό οδήγησε σε ένα δίκτυο διαφορετικών παραγόντων απειλών που εκτελούν διάφορους τύπους επιθέσεων. Το LockBit, το οποίο εμφανίστηκε στα τέλη του 2019, έχει διατηρήσει τον ανατρεπτικό και παραγωγικό χαρακτήρα του, με στατιστικά στοιχεία από το Malwarebytes να δείχνουν ότι στόχευσε έως και 76 θύματα μόνο τον Μάιο του 2023. Η συμμορία ransomware, που πιστεύεται ότι έχει συνδέσμους με τη Ρωσία, έχει αναλάβει την ευθύνη για περισσότερες από 1.653 επιθέσεις ransomware μέχρι σήμερα.

Η LockBit δεν έχει γλιτώσει τον τομέα της υποδομής ζωτικής σημασίας, στοχεύοντας βιομηχανίες όπως η χρηματοδότηση, η γεωργία, η εκπαίδευση, η ενέργεια, η κυβέρνηση, η υγειονομική περίθαλψη, η μεταποίηση και οι μεταφορές. Έχει υποστεί σημαντικές αναβαθμίσεις, όπως το LockBit Red τον Ιούνιο του 2021, το LockBit Black τον Μάρτιο του 2022 και το LockBit Green τον Ιανουάριο του 2023, το τελευταίο από τα οποία βασίζεται στον πηγαίο κώδικα που διέρρευσε από την εξαρθρωμένη συμμορία Conti. Το ransomware έχει επίσης επεκτείνει την εμβέλειά του για να στοχεύσει συστήματα Linux, VMware ESXi και Apple macOS, καθιστώντας το μια συνεχώς εξελισσόμενη απειλή.

Το επιχειρηματικό μοντέλο της LockBit περιλαμβάνει τη μίσθωση των εργαλείων ransomware σε θυγατρικές που εκτελούν τις επιθέσεις και τις λειτουργίες εκβιασμού. Ασυνήθιστα, η ομάδα επιτρέπει στους συνεργάτες να λαμβάνουν πληρωμές λύτρων απευθείας πριν μοιραστούν μια μερίδα με τους βασικούς προγραμματιστές.

Το LockBit αξιοποιεί διάφορα τρωτά σημεία

Οι επιθέσεις που ενορχηστρώθηκαν από το LockBit έχουν εκμεταλλευτεί ευπάθειες σε διάφορα συστήματα, συμπεριλαμβανομένων ελαττωμάτων που αποκαλύφθηκαν πρόσφατα στους διακομιστές Fortra GoAnywhere Managed File Transfer (MFT) και PaperCut MF/NG. Επιπλέον, γνωστές ευπάθειες στις συσκευές Apache Log4j2, F5 BIG-IP και BIG-IQ και Fortinet έχουν γίνει αντικείμενο εκμετάλλευσης για αρχική πρόσβαση.

Οι θυγατρικές του LockBit έχουν χρησιμοποιήσει πάνω από τρεις δωδεκάδες δωρεάν λογισμικό και εργαλεία ανοιχτού κώδικα για τη διεξαγωγή αναγνώρισης δικτύου, τη δημιουργία απομακρυσμένης πρόσβασης, την απόρριψη διαπιστευτηρίων και την εξαγωγή αρχείων. Σημειωτέον, το νόμιμο λογισμικό της κόκκινης ομάδας όπως το Metasploit και το Cobalt Strike έχει επίσης καταχραστεί σε αυτές τις εισβολές.

Η επιτυχία του LockBit μπορεί να αποδοθεί στη συνεχή καινοτομία του, ιδιαίτερα στη φιλική προς τον χρήστη πίνακα διαχείρισης που απλοποιεί την ανάπτυξη ransomware για άτομα με περιορισμένη τεχνική εξειδίκευση. Η ομάδα αναθεωρεί συνεχώς τις τακτικές, τις τεχνικές και τις διαδικασίες της (TTP) για να παραμείνει μπροστά.

Ως απάντηση στην απειλή, η CISA εξέδωσε μια δεσμευτική επιχειρησιακή οδηγία που δίνει εντολή στις ομοσπονδιακές υπηρεσίες να ασφαλίζουν τις συσκευές δικτύου που εκτίθενται στο δημόσιο Διαδίκτυο και να ελαχιστοποιούν την επιφάνεια επίθεσης. Αυτή η οδηγία στοχεύει να μετριάσει τον κίνδυνο των φορέων απειλής να αξιοποιήσουν συσκευές δικτύου για να αποκτήσουν απεριόριστη πρόσβαση σε οργανωτικά δίκτυα.

Επιπλέον, μια πρόσφατη συμβουλευτική υπογράμμισε τους πιθανούς κινδύνους που σχετίζονται με τις υλοποιήσεις του Baseboard Management Controller (BMC), οι οποίοι θα μπορούσαν να παρέχουν στους φορείς απειλών μια βάση και δυνατότητες εκτέλεσης πριν από την εκκίνηση.