LockBit 2.0 Ransomware -angrep øker over hele verden

Sikkerhetsforskere har sett en økning i angrepene ved å bruke den siste versjonen av LockBit -ransomware, med nye ofre i Sør -Amerika, Asia og Europa.

Vi har tidligere dekket LockBit 2.0 -angrepet som var vellykket rettet mot det enorme konsulentselskapet Accenture, med trusselaktører som angivelig ville be om 50 millioner dollar i løsepenger, ifølge noen analytikere, og angivelig stjele rundt 6 TB sensitive Accenture -data. Konsulentselskapet uttalte at det ikke var noen vesentlig innvirkning fra angrepet, systemer ble raskt låst ned og påvirkningen var minimal, med data som ble gjenopprettet fra sikkerhetskopier.

De nye angrepene kommer i kjølvannet av løsepengetreffet på Accenture. Forskere rapporterer angrep på enheter i Taiwan, Storbritannia og Chile. Den nye versjonen av ransomware bruker angivelig en forbedret kryptering med flere tråder, og har en av de raskeste krypteringsmetodene i feltet. Det ser også ut til at LockBit 2.0 bare krypterer en veldig liten del av hver fil den krypterer, med bare en 4 kilobyte del av hver fil som blir kryptert, noe som fremskynder prosessen betydelig.

Trusselsaktøren bak LockBit eksperimenterer også med nye sosialtekniske taktikker. Hackerne prøver å komme seg videre til selskapets ansatte og bestikke dem til samarbeid. Det er rapporter om skadelig programvare som endrer ansattes bakgrunnsbilder, reklameutbetalinger i millioner av dollar for legitimasjon som lar hackere infiltrere målorganisasjonen.

Når LockBit 2.0 finner veien på et nettverk, har den et variert arsenal av verktøy til disposisjon. Det er en nettverksskanner som skiller ut domenekontrollere, i tillegg til en rekke .bat-filer som inkluderer automatisering for et stort antall oppgaver, inkludert aktivering av RDP, avslutning av antimalware eller sikkerhetsprogramvare og spyling av hendelseslogger for å minimere skadelig programvare fotspor.

Etter å ha etablert sine grunnleggende rutiner, begynner LockBit å bevege seg lateralt over offernettverket, og starter med å sende ut nye gruppepolicyer til tilkoblede enheter. Disse retningslinjene tar seg av å slå av Windows Defender og deretter spre og utføre nyttelasten på hver Windows -enhet som blir funnet.

Når kryptering har funnet sted, erstattes skrivebordsbildet med rekrutteringsmeldingen beskrevet ovenfor, de vanlige løsepengeinstruksjonene og trusselen om at allerede krypterte filer kan bli utgitt for publikum i tilfelle løsepenger ikke betales.

Forskere har også oppdaget noen likheter i oppførselen til LockBit 2.0 og andre beryktede ransomware -stammer som Ryuk og Egregor, noe som indikerer minst delvis overlapping av kode.