LockBit 2.0 Ransomware-aanvallen nemen wereldwijd toe
Beveiligingsonderzoekers zagen een toename van aanvallen met de nieuwste versie van de LockBit-ransomware, met nieuwe slachtoffers in Zuid-Amerika, Azië en Europa.
We hebben eerder melding gemaakt van de LockBit 2.0-aanval die met succes gericht was op het enorme adviesbureau Accenture, waarbij bedreigingsactoren volgens sommige analisten $ 50 miljoen aan losgeld zouden hebben gevraagd en naar verluidt ongeveer 6 TB aan gevoelige Accenture-gegevens hebben gestolen. Het adviesbureau verklaarde dat de aanval geen significante impact had, dat systemen snel werden vergrendeld en dat de impact minimaal was, en dat de gegevens met succes werden hersteld vanaf back-ups.
De nieuwe aanvallen volgen op het losgeld dat op Accenture is binnengekomen. Onderzoekers melden aanvallen op entiteiten in Taiwan, het Verenigd Koninkrijk en Chili. De nieuwe versie van de ransomware maakt naar verluidt gebruik van een verbeterde, multi-threaded codering, met een van de snelste coderingsmethoden in het veld. Het lijkt er ook op dat LockBit 2.0 slechts een heel klein deel van elk bestand dat het versleutelt versleutelt, waarbij slechts een stuk van 4 kilobyte van elk bestand wordt versleuteld, wat het proces aanzienlijk versnelt.
De dreigingsactor achter LockBit experimenteert ook met nieuwe social engineering-tactieken. De hackers proberen door te dringen tot medewerkers van het bedrijf en hen om te kopen tot samenwerking. Er zijn meldingen van malware die de achtergronden van werknemers verandert, reclame-uitbetalingen in de miljoenen dollars voor werkende referenties waarmee de hackers de doelorganisatie kunnen infiltreren.
Zodra LockBit 2.0 zijn weg vindt op een netwerk, heeft het een gevarieerd arsenaal aan tools tot zijn beschikking. Er is een netwerkscanner die domeincontrollers uitkiest, evenals een reeks .bat-bestanden die automatisering bevatten voor een groot aantal taken, waaronder het inschakelen van RDP, het afsluiten van antimalware- of beveiligingssoftware en het leegmaken van gebeurtenislogboeken om de malware te minimaliseren. voetafdruk.
Na het instellen van de basisroutines, begint LockBit zijdelings over het slachtoffernetwerk te bewegen, te beginnen met het verzenden van nieuw groepsbeleid naar aangesloten apparaten. Dat beleid zorgt voor het afsluiten van Windows Defender en het verspreiden en uitvoeren van de payload op elk gevonden Windows-apparaat.
Zodra de versleuteling heeft plaatsgevonden, wordt de bureaubladafbeelding vervangen door het hierboven beschreven wervingsbericht, de gebruikelijke losgeldinstructies en de dreiging dat reeds versleutelde bestanden openbaar kunnen worden gemaakt in het geval dat het losgeld niet wordt betaald.
Onderzoekers hebben ook enkele overeenkomsten ontdekt in het gedrag van LockBit 2.0 en andere beruchte ransomware-soorten zoals Ryuk en Egregor, wat wijst op een gedeeltelijke overlap van de code.
