LockBit Ransomware-skuespillere har tjent over 90 millioner dollar siden 2020

LockBit, en beryktet ransomware-as-a-service (RaaS)-operasjon, har klart å presse svimlende 91 millioner dollar fra ulike amerikanske organisasjoner gjennom hundrevis av angrep siden 2020. En felles bulletin utgitt av flere internasjonale myndigheter, inkludert US Cybersecurity and Infrastructure Security Agency (CISA) og FBI, kaster lys over omfanget av skadene forårsaket av LockBit.

Bulletinen avslører at LockBit fungerer som en RaaS, og lokker tilknyttede selskaper til å utføre løsepenge-angrep ved å bruke plattformen deres. Dette har ført til et nettverk av ulike trusselaktører som utfører ulike typer angrep. LockBit, som dukket opp på slutten av 2019, har opprettholdt sin forstyrrende og produktive natur, med statistikk fra Malwarebytes som indikerer at den målrettet mot opptil 76 ofre i mai 2023 alene. Ransomware-gjengen, som antas å ha forbindelser til Russland, har påtatt seg ansvaret for over 1653 løsepenge-angrep til dags dato.

LockBit har spart ingen kritisk infrastruktursektor, rettet mot bransjer som finans, landbruk, utdanning, energi, myndigheter, helsevesen, produksjon og transport. Den har gjennomgått betydelige oppgraderinger, inkludert LockBit Red i juni 2021, LockBit Black i mars 2022 og LockBit Green i januar 2023, hvor sistnevnte er basert på lekket kildekode fra den demonterte Conti-gjengen. Ransomware har også utvidet rekkevidden til å målrette Linux, VMware ESXi og Apple macOS-systemer, noe som gjør den til en trussel i kontinuerlig utvikling.

LockBits forretningsmodell innebærer å leie ut løsepengevareverktøyene deres til tilknyttede selskaper som utfører angrepene og utpressingsoperasjonene. Uvanlig lar gruppen tilknyttede selskaper motta løsepenger direkte før de deler en del med kjerneutviklerne.

LockBit utnytter ulike sårbarheter

Angrepene orkestrert av LockBit har utnyttet sårbarheter i forskjellige systemer, inkludert nylig avslørte feil i Fortra GoAnywhere Managed File Transfer (MFT) og PaperCut MF/NG-servere. I tillegg har kjente sårbarheter i Apache Log4j2, F5 BIG-IP og BIG-IQ og Fortinet-enheter blitt utnyttet for førstegangstilgang.

LockBit-tilknyttede selskaper har brukt over tre dusin freeware og åpen kildekode-verktøy for å utføre nettverksrekognosering, etablere ekstern tilgang, utføre legitimasjonsdumping og eksfiltrere filer. Spesielt har legitim rød team-programvare som Metasploit og Cobalt Strike også blitt misbrukt i disse inntrengingene.

Suksessen til LockBit kan tilskrives dens konstante innovasjon, spesielt det brukervennlige administrative panelet som forenkler distribusjon av løsepengevare for personer med begrenset teknisk ekspertise. Gruppen reviderer kontinuerlig taktikk, teknikker og prosedyrer (TTP) for å ligge i forkant.

Som svar på trusselen utstedte CISA et bindende operasjonsdirektiv som instruerte føderale byråer om å sikre nettverksenheter utsatt for det offentlige internett og minimere angrepsoverflaten. Dette direktivet tar sikte på å redusere risikoen for at trusselaktører utnytter nettverksenheter for å få ubegrenset tilgang til organisasjonsnettverk.

Videre fremhevet en nylig rådgiving de potensielle risikoene forbundet med Baseboard Management Controller (BMC)-implementeringer, som kan gi trusselaktører fotfeste og evner til å utføre før oppstart.