„LockBit 2.0 Ransomware“ atakų padaugėjo visame pasaulyje

Saugumo tyrinėtojai pastebėjo išpuolių dažnumą, naudojant naujausią „LockBit“ išpirkos programinės įrangos versiją - naujų aukų buvo Pietų Amerikoje, Azijoje ir Europoje.

Anksčiau mes aptarėme „LockBit 2.0“ ataką, kuri sėkmingai nusitaikė į didžiulę konsultacinę bendrovę „Accenture“, o kai kurių analitikų teigimu, grėsmės veikėjai tariamai prašė išpirkti 50 milijonų dolerių ir tariamai pavogė apie 6 TB neskelbtinų „Accenture“ duomenų. Konsultacijų bendrovė pareiškė, kad išpuolis neturėjo reikšmingo poveikio, sistemos buvo greitai užrakintos ir poveikis buvo minimalus, o duomenys sėkmingai atkurti iš atsarginių kopijų.

Naujos atakos įvyko po išpirkos smūgio į „Accenture“. Tyrėjai praneša apie išpuolius prieš Taivane, Jungtinėje Karalystėje ir Čilėje esančius subjektus. Pranešama, kad naujoje išpirkos programinės įrangos versijoje naudojamas patobulintas, daugiasluoksnis šifravimas, kuris gali pasigirti vienu greičiausių šios srities šifravimo būdų. Taip pat atrodo, kad „LockBit 2.0“ užšifruoja tik labai mažą kiekvieno šifruojamo failo dalį, o užšifruojama tik 4 kilobaitų kiekvieno failo dalis, o tai žymiai pagreitina procesą.

„LockBit“ grėsmių veikėjas taip pat eksperimentuoja su nauja socialinės inžinerijos taktika. Piratai bando susisiekti su įmonės darbuotojais ir papirkti juos bendradarbiauti. Yra pranešimų apie kenkėjiškas programas, pakeičiančias darbuotojų fono paveikslėlius, reklamuojančias milijonus dolerių už darbo pažymėjimus, kurie leis įsilaužėliams įsiskverbti į tikslinę organizaciją.

Kai „LockBit 2.0“ atsiduria tinkle, jis turi įvairų įrankių arsenalą. Yra tinklo skaitytuvas, išskiriantis domeno valdiklius, taip pat .bat failų masyvas, apimantis daugelio užduočių automatizavimą, įskaitant KPP įgalinimą, bet kokios kenkėjiškų programų ar saugos programinės įrangos išjungimą ir įvykių žurnalų praplovimą, siekiant sumažinti kenkėjiškų programų skaičių. pėdsakas.

Nustatęs pagrindines procedūras, „LockBit“ pradeda judėti į šoną per aukų tinklą, pradedant naujų grupės strategijų siuntimu į prijungtus įrenginius. Ši politika rūpinasi „Windows Defender“ išjungimu, tada naudingo krovinio paskirstymu ir vykdymu kiekviename rastame „Windows“ įrenginyje.

Atlikus šifravimą, darbalaukio vaizdas pakeičiamas aukščiau aprašytu įdarbinimo pranešimu, įprastomis išpirkos instrukcijomis ir grėsme, kad jau užšifruoti failai gali būti paskelbti visuomenei, jei nesumokama išpirkos kaina.

Tyrėjai taip pat pastebėjo kai kuriuos „LockBit 2.0“ ir kitų liūdnai pagarsėjusių išpirkos programų, tokių kaip „Ryuk“ ir „Egregor“, elgesio panašumus, nurodydami bent dalinį kodo sutapimą.