A LockBit Ransomware szereplői több mint 90 millió dollárt kerestek 2020 óta

A LockBit, a hírhedt ransomware-as-a-service (RaaS) művelet, 2020 óta több száz támadás révén 91 millió dollárt sikerült kicsikarnia különböző amerikai szervezetektől. Több nemzetközi hatóság, köztük az Egyesült Államok kiberbiztonsági és infrastrukturális hivatala által közzétett közös közlemény. A Biztonsági Ügynökség (CISA) és az FBI rávilágított a LockBit által okozott kár mértékére.

A közleményből kiderül, hogy a LockBit RaaS-ként működik, és arra csábítja a leányvállalatokat, hogy ransomware támadásokat hajtsanak végre a platformjukon. Ez a különböző fenyegetési szereplők hálózatához vezetett, amelyek különféle típusú támadásokat hajtanak végre. A 2019 végén megjelent LockBit megőrizte bomlasztó és termékeny természetét, a Malwarebytes statisztikái szerint csak 2023 májusában 76 áldozatot céloz meg. A ransomware-banda, amelyről feltételezik, hogy kapcsolatban állnak Oroszországgal, eddig több mint 1653 zsarolóvírus-támadásért vállalta a felelősséget.

A LockBit nem kímélte a kritikus infrastrukturális szektort, és olyan iparágakat céloz meg, mint a pénzügy, a mezőgazdaság, az oktatás, az energia, a kormányzat, az egészségügy, a gyártás és a közlekedés. Jelentős frissítésen esett át, többek között a LockBit Red 2021 júniusában, a LockBit Black 2022 márciusában és a LockBit Green 2023 januárjában, amelyek közül az utóbbi a felszámolt Conti bandától kiszivárgott forráskódon alapul. A zsarolóprogram a Linux, a VMware ESXi és az Apple macOS rendszerekre is kiterjesztette hatókörét, így folyamatosan fejlődő fenyegetést jelent.

A LockBit üzleti modellje magában foglalja a ransomware eszközeinek bérbeadását a támadásokat és zsarolási műveleteket végrehajtó leányvállalatoknak. Szokatlan módon a csoport lehetővé teszi a leányvállalatok számára, hogy közvetlenül váltságdíjat kapjanak, mielőtt egy részt megosztanának a fő fejlesztőkkel.

A LockBit különféle sebezhetőségeket hasznosít

A LockBit által szervezett támadások különféle rendszerek sebezhetőségeit használták ki, beleértve a Fortra GoAnywhere Managed File Transfer (MFT) és a PaperCut MF/NG szerverek nemrégiben feltárt hibáit. Ezenkívül az Apache Log4j2, F5 BIG-IP és BIG-IQ, valamint a Fortinet eszközök ismert sebezhetőségeit is kihasználták a kezdeti hozzáféréshez.

A LockBit leányvállalatai több mint három tucat ingyenes és nyílt forráskódú eszközt használtak a hálózat felderítésére, a távoli hozzáférés létrehozására, a hitelesítő adatok kiürítésére és a fájlok kiszűrésére. Nevezetesen, a legális vörös csapatszoftverekkel, mint például a Metasploit és a Cobalt Strike, szintén visszaéltek ezekben a behatolásokban.

A LockBit sikere a folyamatos innovációnak tudható be, különösen a felhasználóbarát adminisztrációs panelnek, amely leegyszerűsíti a zsarolóvírusok telepítését a korlátozott technikai tudással rendelkező egyének számára. A csoport folyamatosan felülvizsgálja taktikáit, technikáit és eljárásait (TTP), hogy előrébb maradhasson.

A fenyegetésre válaszul a CISA kötelező érvényű működési irányelvet adott ki, amelyben utasította a szövetségi ügynökségeket, hogy biztosítsák a nyilvános internetnek kitett hálózati eszközöket, és minimalizálják a támadási felületet. Ennek az irányelvnek az a célja, hogy csökkentse annak kockázatát, hogy a fenyegetés szereplői a hálózati eszközöket kihasználva korlátlanul hozzáférjenek a szervezeti hálózatokhoz.

Ezenkívül egy közelmúltbeli tanács kiemelte a Baseboard Management Controller (BMC) implementációival kapcsolatos lehetséges kockázatokat, amelyek a fenyegetés szereplői számára támaszt és rendszerindítás előtti végrehajtási képességeket biztosíthatnak.