LockBit2.0ランサムウェア攻撃は世界中で増加しています

セキュリティ研究者は、南米、アジア、ヨーロッパで新たな被害者が出た、最新バージョンのLockBitランサムウェアを使用した攻撃の増加を発見しました。

一部のアナリストによると、脅威アクターが身代金として5,000万ドルを要求し、約6 TBの機密性の高いアクセンチュアデータを盗んだという、巨大なコンサルティング会社アクセンチュアを標的としたLockBit2.0攻撃については以前に取り上げました。コンサルティング会社は、攻撃による重大な影響はなく、システムは迅速にロックダウンされ、影響は最小限であり、データはバックアップから正常に復元されたと述べました。

新しい攻撃は、アクセンチュアの身代金攻撃を受けて発生します。研究者は、台湾、英国、チリにあるエンティティへの攻撃を報告しています。伝えられるところによると、ランサムウェアの新しいバージョンは、改良されたマルチスレッド暗号化を使用しており、この分野で最速の暗号化方式の1つを誇っています。また、LockBit 2.0は、スクランブルする各ファイルのごく一部のみを暗号化し、各ファイルの4キロバイトのチャンクのみが暗号化されるため、プロセスが大幅に高速化されるようです。

LockBitの背後にいる脅威アクターも、新しいソーシャルエンジニアリング戦術を実験しています。ハッカーは会社の従業員に連絡を取り、彼らに賄賂を渡して協力させようとしています。マルウェアが従業員の壁紙を変更し、ハッカーが標的組織に侵入することを可能にする有効な資格情報に対して数百万ドルの支払いを宣伝しているという報告があります。

LockBit 2.0がネットワーク上でその道を見つけると、さまざまなツールを自由に利用できるようになります。ドメインコントローラーを選び出すネットワークスキャナーと、RDPの有効化、マルウェア対策ソフトウェアやセキュリティソフトウェアのシャットダウン、マルウェアを最小限に抑えるためのイベントログのフラッシュなど、多数のタスクの自動化を含む一連の.batファイルがあります。フットプリント。

基本的なルーチンを確立した後、LockBitは、接続されたデバイスに新しいグループポリシーを送信することから始めて、被害者のネットワークを横方向に移動し始めます。これらのポリシーは、Windows Defenderをシャットオフし、検出されたすべてのWindowsデバイスでペイロードを拡散して実行します。

暗号化が行われると、デスクトップイメージは上記の募集メッセージ、通常の身代金の指示、および身代金が支払われない場合にすでに暗号化されたファイルが一般に公開される可能性があるという脅威に置き換えられます。

研究者はまた、LockBit 2.0と、RyukやEgregorなどの他の悪名高いランサムウェア株の動作にいくつかの類似点があることを発見しました。これは、少なくとも部分的なコードの重複を示しています。