„LockBit Ransomware“ aktoriai nuo 2020 m. uždirbo daugiau nei 90 mln

„LockBit“, liūdnai pagarsėjusiai išpirkos reikalaujančių programų kaip paslaugos (RaaS) operacijai, nuo 2020 m. per šimtus išpuolių iš įvairių JAV organizacijų pavyko išvilioti stulbinančius 91 mln. Saugumo agentūra (CISA) ir FTB atskleidė „LockBit“ padarytos žalos mastą.

Biuletenyje atskleidžiama, kad „LockBit“ veikia kaip „RaaS“, viliojanti filialus vykdyti išpirkos reikalaujančių programų atakas naudojant savo platformą. Dėl to susidarė skirtingų grėsmės veikėjų tinklas, vykdantis įvairių tipų atakas. 2019 m. pabaigoje atsiradęs „LockBit“ išlaikė savo žalingą ir vaisingą pobūdį, o „Malwarebytes“ statistika rodo, kad vien 2023 m. gegužę ji buvo skirta iki 76 aukų. Manoma, kad išpirkos reikalaujančių programų gauja, turinti ryšių su Rusija, prisiėmė atsakomybę už daugiau nei 1653 išpirkos reikalaujančių išpuolių iki šiol.

„LockBit“ nepagailėjo ypatingos svarbos infrastruktūros sektoriaus, nukreipdama į tokias pramonės šakas kaip finansai, žemės ūkis, švietimas, energetika, vyriausybė, sveikatos priežiūra, gamyba ir transportas. Jis buvo labai atnaujintas, įskaitant „LockBit Red“ 2021 m. birželį, „LockBit Black“ 2022 m. kovą ir „LockBit Green“ 2023 m. sausį, o pastarasis yra pagrįstas nutekėjusiu šaltinio kodu iš išardytos „Conti“ grupės. Išpirkos reikalaujančios programos taip pat išplėtė savo pasiekiamumą, kad būtų nukreiptos į „Linux“, „VMware ESXi“ ir „Apple MacOS“ sistemas, todėl tai nuolat kylanti grėsmė.

„LockBit“ verslo modelis apima išpirkos reikalaujančių programų įrankių nuomą filialams, kurie vykdo atakas ir turto prievartavimo operacijas. Neįprasta, kad grupė leidžia filialams tiesiogiai gauti išpirkos mokėjimus prieš dalinantis dalį su pagrindiniais kūrėjais.

„LockBit“ naudoja įvairius pažeidžiamumus

„LockBit“ surengtos atakos išnaudojo įvairių sistemų pažeidžiamumą, įskaitant neseniai atskleistus „Fortra GoAnywhere Managed File Transfer“ (MFT) ir „PaperCut MF/NG“ serverių trūkumus. Be to, pradinei prieigai išnaudoti žinomi „Apache Log4j2“, „F5 BIG-IP“ ir „BIG-IQ“ bei „Fortinet“ įrenginių pažeidžiamumai.

„LockBit“ filialai panaudojo daugiau nei tris dešimtis nemokamų ir atvirojo kodo įrankių, kad galėtų atlikti tinklo žvalgybą, sukurti nuotolinę prieigą, atlikti kredencialų išmetimą ir išfiltruoti failus. Pažymėtina, kad per šiuos įsilaužimus taip pat buvo piktnaudžiaujama teisėta raudonosios komandos programine įranga, tokia kaip Metasploit ir Cobalt Strike.

„LockBit“ sėkmę galima sieti su nuolatinėmis naujovėmis, ypač patogiu administraciniu skydeliu, kuris supaprastina išpirkos reikalaujančių programų diegimą asmenims, turintiems ribotą techninę patirtį. Grupė nuolat peržiūri savo taktiką, metodus ir procedūras (TTP), kad išliktų priekyje.

Reaguodama į grėsmę, CISA paskelbė įpareigojančią veiklos direktyvą, nurodydama federalinėms agentūroms apsaugoti tinklo įrenginius, veikiančius viešajame internete, ir sumažinti atakos paviršių. Šia direktyva siekiama sumažinti pavojų, kad grėsmės veikėjai pasinaudos tinklo įrenginiais, kad gautų neribotą prieigą prie organizacijos tinklų.

Be to, neseniai pateiktame patarime buvo pabrėžta galima rizika, susijusi su „Baseboard Management Controller“ (BMC) diegimu, kuris gali suteikti grėsmės veikėjams įsitvirtinimą ir prieš įkrovą vykdomas galimybes.